Não deve haver nenhum problema com isso, se estiver configurado corretamente. Ele deve funcionar em ambos os modos tun (IP routed) e tap (Ethernet bridged) (dependendo do que você precisa; tun seria o preferido, como sempre). Você terá que certificar-se de que o roteamento está correto para que todo o tráfego exceto o túnel criptografado atravesse o túnel.
Essa será a parte difícil. Eu sugiro colocar OpenVPN + o NIC do lado do switch em um namespace de rede. Em seguida, mova a interface tun / tap que ela cria de volta para o namespace da rede principal, para que você possa rotear o tráfego sobre ela. Isso fica mais complicado se você precisar se comunicar com outros hosts no switch. Outra abordagem é o roteamento de políticas (você pode selecionar a rota não criptografada somente para a porta / IP de origem do OpenVPN, caso contrário, a rota criptografada). O roteamento de políticas também torna mais fácil a necessidade de acessar outros hosts no comutador.