Доступ только к определенным устройствам в клиентской сети openvpn

У меня есть следующий вариант использования моего сервера openvpn на Ubuntu (без сервера доступа):

У меня есть маршрутизатор, который действует как мой клиент openvpn. За этим маршрутизатором стоят некоторые устройства, к которым сервер openvpn должен получить доступ, а некоторые из них не должны быть доступны для сервера openvpn. Сервер Openvpn будет иметь много подключений от многих клиентов, возможно, с одной и той же подсетью за ними.

Моей первой идеей было использовать конфигурацию «tun» с переадресацией портов, но я не могу ее использовать, потому что не хочу, чтобы устройства были доступны из Интернета.

Теперь я думаю об использовании tap, но должны быть доступны только определенные клиенты, а также есть проблема, что некоторые маршрутизаторы будут иметь одну и ту же подсеть, а некоторые - другую подсеть.

Каков наилучший способ добиться этого?

Я надеюсь, что есть решение моей проблемы, если нет, то, скорее всего, это тоже будет хорошо, но не идеально, чтобы сделать всю клиентскую сеть доступной.