Hmm. Jak to wyklikać to nie mam pojęcia.
Zawsze możesz w konfiguracji serwera OpenVPN dodać opcję:

push "route 8.8.8.8 255.255.255.255 10.0.0.1"

gdzie:
8.8.8.8 - wybrany przez ciebie specyficzny adres IP docelowego komputera,
10.0.0.1 - adres IP serwera OpenVPN.
Jeśli chcesz przetestować czy to działa to zamiast 8.8.8.8 wpisz 85.128.227.204, zajrzyj na stronę https://moj-ip.pl/ i sprawdź czy jako twoje IP strona podaje publiczny adres serwera VPN.

Gdzie ty na rysunku Marcina zauważyłeś, że ma on 2 routery?
"1" to AP i switch w jednym opakowaniu.
"2" to AP, switch oraz router.
Dlaczego wyłączył funkcję routingu w "1" nie wiem, ale nie zmienia to faktu, że ma tylko jeden router.

Zainteresuj się IEEE 802.1Q.
Zdefiniuj w konfiguracji switchy, że port (gniazdko) do którego jest podłączony drugi switch jest tagowane i należy do każdego VLANu.
A tak BTW. To nie VLAN jest otagowany.

Mam obecnie zainstalowany serwer z Debianem 9 i nawet nie wiedziałam, że OpenVPN wymaga jakiejś specjalnej instalacji. Zainstalowałem apt-em i skopiowałem starą konfigurację. Działa

Osobiście stosuję takie rozwiązanie:
Do komputera A wkładasz drugą kartę sieciową. Pierwsza jest podłączona do ISP druga do switcha, AP i reszty twojej sieci.
Działa naprawdę skutecznie.

Jeśli nie masz możliwości dołożenia karty to przypuszczam, że twój "router" ma wbudowany switch, którym można zarządzać. Wtedy:
Na "routerze" ustawiasz 2 VLAN-y. Port 1. przypinasz do 1 VLAN-u bez tagowania. Do tego portu wkładasz kabel od ISP. Port 2. przypinasz do obu VLAN-ów i tagujesz. Do tego portu przypinasz komputer A. Pozostałe porty przypinasz do VLAN 2. Swój switch podpinasz do jednego z wolnych portów w "routerze". W kompie A ustawiasz interface do współpracy z VLAN-ami. Na VLAN 1 masz połączenie z ISP na VLAN 2 połączenie z resztą twojej sieci.

Generalnie w pierwszej opcji możesz zastąpić komputer routerem z OpenWRT. Druga opcja to całkiem ciekawy eksperyment, tylko nie wiem czy potrzebny.

Po pierwsze: Kanały WIFI. Pasma kanałów 6 i 8 częściowo się pokrywają. Czyli wzajemnie się zakłócają zmniejszając przepustowość. Lepiej użyć kombinacji 1 i 6 lub 6 i 11. Jeśli użyjesz 1 i 13 to możesz zastosować kanały o szerokości 40 MHz.

Po drugie: TL-WR1043ND z OpenWRT na pokładzie bardzo dobrze spisuje się w roli AP. Osobiście jestem za takim rozwiązaniem. LEDE w takim przypadku jest zbędne. AP raz skonfigurowane będzie działać.

Po trzecie: Sam stosuję zasadę: zainstaluj, skonfiguruj, zapomnij. Mój TL-WR1043ND ma zainstalowany OpenWrt Chaos Calmer 15.05.1 datowany na grudzień 2016 roku. Działa, to go nie ruszam

Ustawiasz domyślny routing via IP AR300M. A AR300M ma mieć domyślny routing via wireguarda.

Ja już mam Mi Power Bank 2C 20000mAh. Musisz dokupić ładowarkę Quick Charge 3.0 i będziesz zadowolony.

Pokaż swój konfig.

To będzie działać tylko dla http. Jeśli strona używa https to już gorzej.

Ile razy w roku masz burzę?
Zabezpieczenia warto stosować tam gdzie ryzyko jest  duże. Inna sprawa, że w przypadku "trafienia" nic ci nie pomoże.

1. Sprawdź czy możesz pingować do komputerów: 10.0.1.5 i 10.0.1.1 oraz 10.0.0.0
2. Sprawdź firawall'a po stronie servera. Najprostsze rozwiązanie to dodanie sieci z VPN do strefy (zone) LAN

# uci add_list firewall.@zone[0].network='vpn'

Zamiast vpn podaj nazwę twojej sieci openvpn

# cat /var/state/network