Was du mit dem NAT und dem Router willst verstehe ich derzeit nicht.
vps: Eth0; externe ip, VPN interne ip (192.168.1.1)
Router verbindet sich mit dem VPN
Bekommt die ip 192.168.1.2
Sorgt somit dafür dass alle Rechner im 192.168.1.0/24 im virtuellen Netzwerk mit dem VPS hängen.
jetzt leitest du folgendes weiter
Externeip:Port an interneip:Port
dazu musst grundsätzlich das Traffic routing Abschalten (googeln) und die Firewall einstellen:
Habe das ganze ähnlich gemacht mit meinem NAS. Nutze aber WireGuard statt openVPN
iptables -A FORWARD -i eth0 -o wg0 -p tcp --syn --dport 443 -m conntrack --ctstate NEW -j ACCEPT
iptables -A FORWARD -i eth0 -o wg0 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i wg0 -o eth0 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j DNAT --to-destination 192.168.1.25
iptables -t nat -A POSTROUTING -j MASQUERADE