sonik_spb

Вы спросили и сами ответили =)
0. У вас дома стоит просто роутер, без каких либо впн-ов.
1. Где то удалённо стоит впн сервер.
2. НАС является клиентом впн для удалённого сервера (через ваш обычный роутер). Весь уходящих трафик с НАС в инет идёт только в ВПН тунель (домашняя сеть 192.168.0.0/24 не трогается).
3. На НАС поднят сквид, правилами разрешено обслуживать вашу внутреннюю локалку.
4. На устройствах, где требуется выход по впн-у, вы просто прописываете ип НАСА (прокси).

Есть конечно минусы:
В впн тунель можно направить только приложения которые умеют работать через прокси, либо весь трафик с определённого устройства (допустим всякие телефоны по умолчанию можно через впн). Но нужно чуть донастроить НАС.
Но если брать инфу из вашего вопроса - это не будет минусом.

Вы не можете заставить какое-либо приложение работать через определённый впн-тунель, если оно не имеет соотв. функционала.

Вы можете с помощью маршрутизации управлять трафиком до конкретных узлов. Допустим до vk.com через 1 тунель, до ya.ru через второй и т.д. Но сами приложения не будут принимать ни какого участия в решение через какой тунель слать трафик, это будет делаться на уровне ОС.

Это можно настроить на стороне сервера. Там можно прописать маршруты для каждого подключённого пользователя.
Нужно добавить в файлик ../openvpn/ccd/имя клиента:
push "route 8.8.8.8 255.255.255.255"

И убрать строчку:
push redirect-gateway def1 bypass-dhcp

Тогда весь трафик до 8.8.8.8 пойдёт по впну, а остальной по вашему каналу в интернет.

п.с. в конфиге опенвпн сервера должна быть строчка:
client-config-dir /etc/openvpn/ccd