Dmitry

Как сейчас физически подключены все пользователи? Напрямую в м-тик или есть промежуточный коммутатор? Если напрямую, достаточно сделать два бриджа (скорее всего, 1 вас уже есть) В один добавить плрты избранных пользователей, во второй порты остальных. Назначить адреса на бриджи, настроить правила фильтрации трафика между подсетями, настроить dhcp-сервер.

По сигнатурам

https://m.habr.com/ru/post/415977/

https://community.openvpn.net/openvpn/wiki/RoutedLans
И никакого NAT на туннельных интерфейсах

Могу предположить , что неправильно настроена маршрутизация до заблокированных ресурсов из локальной сети - проверьте трассировкой. И ещё, мне кажется, было бы правильнее настроить nat только на vps, и на vps указать обратные маршруты в локалку через openvpn туннель.

На новом основном шлюзе добавить правило в MANGLE которое будет маркировать (mark-routing) трафик до удаленной сети, в таблицу маршрутизации добавить 0.0.0.0-маршрут для маркированного трафика, в качестве шлюза указать микротик, метрика должна быть меньше основного шлюза по умолчанию.