Não é possível. As interfaces Ethernet possuem uma camada de enlace (endereço MAC), tun interfaces não. Você pode conectar Ethernet a tap interfaces.
Além disso: qual é o propósito de uma VPN? Geralmente é para separar os parceiros de comunicação legítimos do resto. Qual é o sentido se alguém precisa apenas se conectar à LAN para obter acesso privilegiado?
Em circunstâncias normais, a única maneira razoável é configurar o sistema como um roteador. Você deve bloquear tudo, desde a Ethernet até a VPN e, em seguida, os acessos à lista de permissões que deseja permitir.