в целом мысль верная.
в конфиге опенВПН сервера ставится dhcp, он так уже есть "внутри", ничего сверх ненужно
отключи(не включай) masquerade на интерфейсе WAN на сервере - и клиенты в инет не выйдут, тут придумывать тоже особо нечего
но при таких настройках у тебя на клиентах сломается инет - чтобы этого не произошло НЕ ставь в конфиге сервера и клиентах настройку "шлюз по умолчанию"
Так же сделай просто пуш нужной подсети в впн - push-route
тогда только эта подсеть пойдет в впн, а остальное будет работать как обычно.
Ну и еще момент - в РФ опенВПН может запросто блочиться, учитывай это. Лично я перешёл на p2p сети, ну либо SSTP на крайняк \ CiscoAnyConnec(ocserv для убунты)
