Бриджи оказались проще, чем я думала. Назначаем айпишник от интерфейса который раньше отвечал за интернет, потом назначаем там же дефолтный маршрут, с оригинала его убираем и заводим обоих под бридж. Всё, теперь апельсинка пропускает трафик через себя, но при этом имеет свой адрес в локалке и VPN, и к ней можно подрубаться