Taka maska jest niedozwolona dla tej podsieci. Min to 16.

1. Siła sygnału jest zależna od różnych czynników, natomiast wartości prezentowane przez GUI to już inna kwestia. W konsoli wpisz:
iw reg get   - pokazuje dla jakiego kraju masz ustawienia
iw list   - moc zależną od wybranych kanałów.

Generalnie dla PL i szerokości pasma 80 MHz, kanały nie objęte "ograniczeniem" DFS nadają słabszy sygnał (36-52). Kanały 149-165 dostępne chyba dla kraju US (i pewnie kilku innych) nadają mocniejszy sygnał bez detekcji DFS, ale wtedy klienty podłączane do wifi też muszą obsługiwać ten zakres.

2. Też korzystam z Xiaomi 3g, na starszej wersji Gargoyle (1.11.0.4) i na stabilność nie narzekam (102 dni pracy -> przerwa w dostawie prądu). Nie ma co szukać pozornych prawidłowości w wersjach oprogramowania, przecież każdy tworzy trochę inne warunki działania i czasem niepozorne zmienne wpływają na stabilność funkcjonowania.

Brama 172.31.88.1 nie serwuje DNS dla klientów, a jest wskazana jako dostawca uslugi.

Jednego PC-ta wepnij do WAN, a drugiego do LAN. Tylko tak sprawdzisz natowanie. Po LAN kompy prawie zamykają 1Gb (sprawdziłeś tylko switch), więc teraz pora sprawdzić możliwość routera w kwestii translacji adresów.

Nie jestem pewien, ale może server VPN powinien wysyłać do klienta (router) dodatkową trasę dla sieci vlan.
Zapewne jest:
push "route 192.168.5.0 255.255.255.0"
a dodatkowo jeszcze powinno być
push "route 192.168.10.0 255.255.255.0"

Dodaj do składni nazwę interfejsu:
etherwake -b -i br-lan 78:24:AF:8A:D3:00

Taka konfiguracja mostu bezprzewodowego jest niezależna od wersji softu (Gargoyle, OpenWRT itp.). Pakiet relayd do poprawnego routowania pakietów potrzebuje interfejsu lan z adresem z innej klasy. Dla użytkownika to tylko widniejący wpis, natomiast w warstwie użytkowej i tak DHCP routera nadrzędnego przydziela adresy IP, a zatem router most oraz podłączone do niego urządzenia mają zgodną adresację z klasą głównego sprzętu.

Odśwież listę dodatków (powinien być przycisk w zakładce System->Dodatki), a na liście pakietów do instalacji powinna być pozycja OpenVPN Support for Gargoyle, obok przycisk instaluj.

Jeżeli korzystasz z Windows to: Uruchom>file://192.168.1.20 i powinien wyświetlić udostępniany udział, a wtedy można mapować.

Flow offload jest zaimplementowane w kernelu. Jak chcesz to włączasz, tylko nie łącz z usługami typu qos, może powodować problemy.

Zapewne potrzebny będzie specyficzny routing po stronie OpenWrt.
Wireguard to połączenie site-to-site. Mamy tutaj końce tunelu, a nie połączenie serwer<->klienci (jak przy OpenVPN).
Ustawienie 'Allowed IPs 192.168.11.xxx/xx' na kliencie pewnie zrobiłoby sprawę, ale bez kontroli nad androidem to tylko życzenie.
10.11.0.x/32 jako adres klienta na końcu tunelu musiałoby być poddane routingowi na OpenWrt, ale wymaga potwierdzenia przez obeznanych użytkowników.

Ad k2) Ten adres z innej puli to takie rozwiązanie awaryjne. Router relayd ma wyłączony serwer dhcp, więc jak nie dostanie IP z routera nadrzędnego, wtedy można się z nim połączyć na tym pomocniczym adresie. Podłączasz kompa z ręcznie wpisanym 192.168.2.2 i będąc w tej samej klasie adresowej dasz radę się zalogować.
Ad k1) Tak. Ja mam dodatkowo w option ifname ' oprócz 'eth0.1' dodatkowo 'eth0.2' (pisałeś o wanie) oraz dodatkowo 'eth0' (kiedyś miałem problem z sambą na moście, a ten wpis pomógł).