Николай

Мысль такая: берём у провайдера IPv6, у того, кто хочет подключаться без VPN, тоже ставится IPv6 (хорошо, если у него оператор МТС, иначе без VPN не обойтись), и он подключается к хосту с Exchange или какими-то другими локальными сервисами. Для ограничения доступа можно перед хостом поставить firewall, блокирующий подключения к Exchange. Перед подключением клиент выполняет какое-то действие, требующее аутентификации (например, обращается по HTTPS ссылке с указанным сертификатом или логином и паролем, или заходит по SSH с определённым ключом, просто заходит, не вводит какую-то команду), можно и port knocking'ом просто обратиться, (хотя это уже не так безопасно, если кто-то может просмотреть трафик клиента), и по этому действию с адреса клиента на определённое время разрешается доступ к сервисам.
Хотя можно и просто порты пробросить, и не использовать IPv6, с контролем по такому же принципу (по умолчанию доступ закрыт, по какому-то действию с аутентификацией на определённое время с адреса клиента открывается). Без IPv6 возможна ситуация, что у клиента shared IP, и кто-то ещё с этого же IP зайдёт, но это маловероятно.

Вообще-то проще всего заказать самый дешёвый VPS с доступом по SSH, подключиться к нему с туннелем
ssh -p port user@server -D localport

и на адресе localhost:localport у вас будет локальный SOCKS прокси, программа, выходящая через него в инет, будет иметь внешний IP от VPS. Можно использовать "проксификатор", вроде proxychains под Linux.
Можно даже запускать несколько подключений, подключаться к разным портам локального прокси, и иметь несколько разных внешних IP даже на одном компьютере.

Скорее всего никак, можно попробовать только с рутом. Тогда способ раздачи интернета не будет отличаться от обычного линукса (iptables и т.п.), обычный android не содержит интерфейса для этого. Раздача будет запускаться скриптом из командной строки.
С точки зрения андроида, USB Ethernet и USB при подключении к компьютеру - это совершенно разные сетевые интерфейсы, поэтому при подключении USB Ethernet не запустится раздача как по обычному USB, даже если USB Ethernet поддерживается в системе.
Есть ещё вариант: андроид подключается к какому-то миникомпьютеру на линуксе с USB и Ethernet интерфейсами, он раздаёт интернет по USB как обычно, а на этом компьютере в bridge объединяются интерфейсы RNDIS от андроида и Ethernet. Так раздача должна работать, там нет ограничения, что устройство должно быть только одно.

https://forums.openvpn.net/viewtopic.php?t=15299
был уже такой вопрос.

что можно попробовать:
1) кроме HTTP_PROXY добавить ещё HTTPS_PROXY

2) сделать прозрачный прокси на стороне VPN сервера через iptables

3) задать прокси в настройках на стороне клиента

Ешё вариант
ping -4 -R ya.ru
PING (87.250.250.242) 56(124) bytes of data.
64 bytes from ya.ru (87.250.250.242): icmp_seq=1 ttl=57 time=186 ms
RR: 192.168.1.XX (192.168.1.XX)
ppp91-77-XXX-XXX.pppoe.mtu-net.ru (91.77.XXX.XXX) <- тут внешний IP
ppp91-77-XX-1.pppoe.mtu-net.ru (91.77.XX.1)
mpts-a197-51.msk.mts-internet.net (212.188.1.106)
a197-cr04-be23.msk.mts-internet.net (212.188.33.198)
marionetka.yndx.net (87.250.234.255)
sas-32z3-lo0.yndx.net (87.250.226.157)
213.180.192.126 (213.180.192.126)
ya.ru (87.250.250.242)

Под Windows можно попробовать ping -r 9.

А если попробовать поставить cygwin (самая последняя версия уже не поддерживает windows xp, но в сети можно найти версию, которая ещё поддерживает), там в окружении будет свой openssl, и поставить туда какой-нибудь более-менее нормальный браузер? хотя ни firefox, ни chromium я в списке пакетов не нашёл, может быть, qupzilla какая-нибудь пойдёт. Она на qt, а Qt под Cygwin использует openssl.
Хотя Qupzilla тоже устарела, а qtwebengine там нет, falkon тоже... тоже не очень вариант, может быть, из исходников собрать, но это долго и там могут быть самые разнообразные проблемы, совместимость у cygwin'a не идеальная.

Чтобы задать исходящий интерфейс, нужно использовать source-based routing. Это функция ОС, а не самого OpenVPN.
echo 100 vpn >>/etc/iproute2/rt_tables (100 - id таблицы, vpn -название)
ip route add default dev (ваш модем) gw (шлюз модема, если не ppp) table vpn
ip rule add from (адрес клиента внутри vpn) lookup vpn