Извиняюсь, что поздно (ПТ, выходные, да дела в ПН как-то не давали возможности вернуться к вопросу).
Итак.
Убрал интерфейс, доступа к сети вовсе не стало. В правилах разрешил все. Tap использую для создания моста между сетями :)
UPD. Проблема частично решена - пошел пинг к другим клиентам Lan-сети. Нужно было использовать только эту правку:
Правилах fw на OpenVPN разрешите всё (не только tcp\udp).
Спасибо за помощь ^^
Осталось заставить клиентам VPN автоматически назначать шлюз 192.168.101.254, иначе опять неопознанная сеть
UPD2. Проблему победил полностью. Оказалось, нужно было удалить диапазон адресов DHCP для клиентов VPN. Тогда адрес будет выдаваться на интерфейсе VPN, а поскольку он настроен на мост с интерфейсом Lan, то следовательно выдача адресов будет производиться на интерфейсе Lan, что мне и нужно было.
Результат удовлетворительный: