Sim, é possível.
Tive que adicionar uma rota à tabela de rotas da sub-rede privada que rotearia o tráfego para 10.1.128.0/17
usando a instância openvpn (10.1.0.3).
Depois disso eu tive que adicionar o mascaramento de eth0 para tun0 também (no servidor ovpn). tun0 para eth0 já estava definido. Este é o comando:
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE