Primeiro, deixe-me verificar se estou certo: você deseja que o seu roteador com o novo firmware funcione como um cliente VPN para um servidor remoto, e que todo o seu tráfego doméstico passe por essa VPN, exceto para sua conexão com o seu site de trabalho.
Se estiver correto, a solução é muito simples: basta adicionar uma regra de roteamento instruindo o roteador a ignorar a VPN somente para o seu endereço IP de trabalho . Supondo que seu endereço IP de trabalho seja 1.2.3.4 , sua interface voltada para WAN seja eth0 e o endereço IP do próximo salto após o roteador ser 192.168 .1.1 , apenas emita no roteador:
ip route add 1.2.3.4/32 via 192.168.1.1 dev eth0 metric 0
Regras de roteamento são aplicadas com base no princípio mais específico primeiro : quando várias regras de roteamento se aplicam, a mais específica ganha, mesmo que não seja a primeira na lista (ao contrário digamos, iptables). E, não passando por tun / tap , os pacotes não são compactados nem criptografados.