Você está certo de que, com roteamento puramente baseado no destino, isso é um problema, se os destinos que você está alcançando através do túnel se sobrepõem ao roteamento necessário para o estabelecimento do túnel, etc ....
A maneira como eu geralmente vi isso acontecer, e eu mesmo fiz isso em vários roteadores, é usar o roteamento de políticas:
- O roteador que atua como um endpoint VPN mantém sua rota padrão apontando para a Internet por meio de seu link ISP
- Ele também tem uma rota de política com uma regra baseada na origem, informando que o tráfego proveniente das sub-redes por trás, independentemente do destino, deve ser enviado pelo túnel.