zvl

Не стоит для таких задач использовать публичные VPN сервисы, адреса которых становятся быстро известны.
Направление мыслей правильное, нужны VDS/VPS серверы вне РФ.
Есть провайдеры предоставляющие подобные сервисы с оплатой в рублях или с пополнением счета в рублях и автоматической конвертацией в валюту страны размещения хостинга.

Что касается классического L3 VPN, типа Wireguard/OpenVPN/gre+ipsec/Anyconnect/etc, в текущей ситуации не практично так как данные протоколы легко детектируются всеми любимым РКН и в любой момент времени могут быть заблокированы на уровне протокола. Стоит рассмотреть варианты L7 VPN (proxy) там маршрутизация может настраиваться на уровне доменов. Решение более устойчивое к блокировкам, но приложения требуют дополнительной настройки так как не весь трафик будет перенаправлен в туннель VPN интерфейса. Мультипротокольный xray позволяет использовать несколько протоколов Vless/VMESS/Trojan/Shadowsocks с транспортами вида TLS/XTLS/Websocket/GRPC/HTTP2

Не думал что доживу до вопросов ссылающиеся на видеогайды по настройке.
Печально :(

Для построения туннеля можно использовать Cloak, конфиги гораздо проще xray:

root@test:~# cat /etc/cloak/cloak-server.json
{
  "ProxyBook": {
    "wireguard": [
      "udp",
      "127.0.0.1:12345"
    ]
  },
  "BindAddr": [
    ":443"
  ],
  "BypassUID": [
    "Lkpevo0X6lV5bn33Rl1QCQ=="
  ],
  "RedirAddr": "mail.google.com",
  "PrivateKey": "+EvmB2L2vKaLsh/ynQgJpyEzQ216Ec2c8svs7au+Y10="
}

root@test:~# cat /etc/cloak/cloak-client-wireguard.json
{
  "Transport": "direct",
  "ProxyMethod": "wireguard",
  "EncryptionMethod": "plain",
  "UID": "Lkpevo0X6lV5bn33Rl1QCQ==",
  "PublicKey": "+GTHXOFTYJhRM4+xv9q+ZjSykSIMOLffIs8qJN/4V2Y=",
  "ServerName": "mail.google.com",
  "NumConn": 4,
  "BrowserSig": "chrome",
  "StreamTimeout": 300
}

На сервере, на внешнем интерфейсе, закрываем подключения к порту UDP:12345 средствами iptables или другими сетевыми фильтрами.
На клиенте запускаем:

cloak-client.exe -u -c C:\Windows\System32\cloak-client-wireguard.json -i 127.0.0.1 -l 12345 -s example.com -p 443

На клиенте WG настраиваем подключение на адрес прослушиваемый нашим Cloak-Client: 127.0.0.1:12345
То есть при данной схеме UDP трафик WG упаковывается в туннель TCP предоставляемый средствами cloak.
Если сработает блокировка, можно включить шифрование в конфиге cloak-client:

root@test:~# cat /etc/cloak/cloak-client-wireguard.json
{
  "Transport": "direct",
  "ProxyMethod": "wireguard",
  "EncryptionMethod": "aes-256-gcm",
  "UID": "Lkpevo0X6lV5bn33Rl1QCQ==",
  "PublicKey": "+GTHXOFTYJhRM4+xv9q+ZjSykSIMOLffIs8qJN/4V2Y=",
  "ServerName": "mail.google.com",
  "NumConn": 4,
  "BrowserSig": "chrome",
  "StreamTimeout": 300
}

Можно попробовать изменить TCP Congestion
https://habr.com/ru/articles/168407/
Посмотреть текущие параметры можно командой:

Get-NetTCPSetting | Select-Object SettingName,CongestionProvider

Для винды параметры по умолчанию:

SettingName      CongestionProvider
-----------      ------------------
Automatic
InternetCustom   CUBIC
DatacenterCustom CUBIC
Compat           NewReno
Datacenter       CUBIC
Internet         CUBIC

Например в рекомендациях по настройке shadowsocks, пишут:

# for high-latency network
net.ipv4.tcp_congestion_control = hybla

https://github.com/shadowsocks/shadowsocks/wiki/Op...

Хоть и не предмет вопроса, но рабочий вариант которым пользуюсь сам https://teletype.in/@yachmenev/shadowsocks-cloak

Правильно понимаю что задача в том чтобы клиенты подключенные к 340 могли получить доступ ко всем сетям за 340 и ко всем сетям которые туннелируются через 130 клиентов?

хостеры ssh не запретят, а он тоже умеет тунелировать