É possível atravessar em uma rede?

Sim, é assim que os roteadores funcionam em primeiro lugar. No primeiro roteador, você precisa adicionar uma rota para 192.168.3.0/24 através do segundo roteador. Eu não sei como isso se traduz em milhares de diferentes UIs da web, mas normalmente ficaria assim:

NETWORK       PREFIX (or NETMASK)         GATEWAY
-----------   -------------------------   -----------
192.168.3.0   /24    (or 255.255.255.0)   192.168.2.3

(Seu segundo roteador será 192.168.3.1 na interface "interna", mas ao mesmo tempo será 192.168.2. [algo] na interface "externa". Esse é o que você deve usar como gateway. )

Além disso: Se o segundo roteador executa NAT, o ideal é desativá-lo - seja completamente (deixando tudo o primeiro NAT do roteador) ou pelo menos para suas próprias sub-redes (embora apenas firewalls avançados como iptables ou pf suportem isso). Double-NAT leva a confusão e dores de cabeça.

Não há necessidade de uma VPN neste caso. Você pode ter algum roteamento para configurar em 192.168.2.x. Você também pode precisar configurar o encaminhamento no roteador DD-WRT para garantir que você não está mascarando o tráfego.

Os dispositivos no 192.168.2.x provavelmente estão sendo roteados para o seu roteador principal. Provavelmente não saberá enviar endereços no intervalo 192.168.2.x para o roteador DD-WRT. Espero que o roteador DD-WRT tenha a interface WAN configurada em 192.168.2.x. Adicione uma rota para 192.168.3.0/24 através do endereço IP WAN DD-WRT para qualquer máquina que precise acessar os dispositivos conectados ao DD-WRT.

Se as máquinas conectadas ao DD-WRT estiverem se conectando apenas a outros servidores, você deverá ficar bem sem nenhuma configuração adicional.