Через iptables.
# разрешаем уже установленные соединения
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
# разрешаем исходящие на порт OpenVPN
-A OUTPUT -p udp --dport 1194 -j ACCEPT
# разрешаем исходящие с хоста через туннель
-A OUTPUT -o tun+ -j ACCEPT
# если этот хост является шлюзом, то разрешаем из локалки наружу через туннель (вопрос NAT оставим за кадром)...
-A FORWARD -o tun+ -j ACCEPT
# ...и внутрь в локалку
-A FORWARD -d 192.168.0.0/16 -j ACCEPT
-A FORWARD -d 172.16.0.0/12 -j ACCEPT
-A FORWARD -d 10.0.0.0/8 -j ACCEPT
# всё остальное запрещаем
-A OUTPUT -j DROP
-A FORWARD -j DROP
Если хост не является шлюзом для других, то все правила с цепочкой FORWARD не нужны.
