Ziptar

Опция client-to-client обеспечивается внутренним роутингом овпн сервера, до обработки iptables и маршрутизацией ядром этот трафик не доходит

Таким образом, надо отключить опцию client-to-client, обеспечить форвандинг трафика между клиентами через ядро (routing and firewal после tun0 на схеме т.е.), и уже тогда можно будет ограничить трафик отдельного клиента через iptables

1. Включаем ip-forwarding
https://www.google.com/search?q=ip+forwarding+debian
2. Разбираемся с фаерволом и нат
https://wiki.debian.org/iptables
https://www.opennet.ru/docs/RUS/iptables/
3. Разбираемся с вланами
https://www.google.com/search?q=debian+vlan

Соединение между хостом и микротиком можно шифровать с помощью IPSec. Микротик поддерживает IPSec из коробки. Форточки поддерживают IPSec из коробки - настройка через GPO. Никсы поддержаивают IPSec после небольших манипуляций.
На практике сам не пробовал - потребности не было. В теории никаких особых проблем быть не должно.
И не читай что тебе тут пишут в комментариях, IPSec не является VPN-решением, хотя используется для шифрования трафика в некоторых из них.
Едиственно что - а действительно ли оно надо? Если отдельный vlan в теории рассматривается как альтернатива, но поднять его почему-то нельзя, то значит, что шифрование как таковое не требуется. Может стоит рассмотреть QinQ?

Я, наверное, тупой, но я не очень понимаю чего Вы хотите.
У Вас X.X.X.X - внешний айпишник VPS и Вы хотите, чтобы запросы внутрь тунеля посылались от этого адреса? Это невозможно.
При этом суть проблемы неясна. Почему когда Вы подлючаетесь из сети за роутером к внешнему IP VPS - у вас ответы терминатятся на тике? У Вас запросы через роутер висят в цепочке forward, а не в input/output. Ответы тоже будут попадать в forward.
Вообще, поясните откуда вы пытаетесь подключиться к X.X.X.X.

Вопрос не понятен. Что значит "должно использовать OpenVPN? Трафик должен передаваться через OpenVPN, или каким то чудом виндовое приложение завязано на виндовый OVPN клиент?
Если 1-ое - самый простой вариант пустить через ovpn дефолт гейт; посложнее - нужное назначение через ovpn, средствами маршрутизации
Если 2-ое - то....