imho, если уже имеется маршрутизатор, то смысл в NAT на целевой машине? Проще NATить изнутри вовне его средствами, PATить извне внутрь тот же 1194/udp, заворачиая его на целевую машину (сервер). Который воткнуть как и остальные станции в единый коммутатор, дать ему всего 1 сет.карту, если коммутатор неуправляемый (если управляемый - можно поиграть с bond-объединением сет.карт и LinkAggr на коммутаторе для расширения пропускной способности). Дешево и сердито...
А если хочется полноценный сетевой шлюз на базе Linux, то выкинуть текущий маршрутизатор и да, eth0 - вовне, eth1 - внутрь. А дальше читать про NAT, PAT, проксирование трафика, iptables filtering, snort/surricata и проч. приколюхи...