Удалось самостоятельно устранить дыру с DNS-запросами при помощи костыля из DNSCrypt.
В настройках TAP-интерфейса прописываю статический DNS-шлюз 127.0.0.1;
Подключаюсь через OpenVPN без предварительной правки route-ов (в них все по дефолту);
В след за чем запускаю exe-шник
DNSCrypt;
В итоге все пингуется и открывается. В логах wireshark'a тишина. Один лишь шифрованный трафик бегает.