Pour le vpn (serveur en mode routage), c'est beaucoup plus simple de le mettre dans le routeur, car la gateway du réseau est le routeur.
Si tu relies 2 sites avec 2 subnets, c'est plus simple de configurer la table de routage du routeur a la place de la table de routage de toutes les machines du réseau.
L'autre solution plus simple consiste peut être a configurer openvpn en mode bridge ethernet...
Je ne suis pas sûr de comprendre ce que tu entends pas TCP ack sortant, encore moins pourquoi ils devraient être prioritaires.
Dans TCP, le récepteur prévient l'èmetteur qu'il a bien reçu les paquets en lui envoyant des packets TCP ACK(knowledge). Si tu perds un TCP ACK, l'èmetteur ré-èmet le paquet correspondant. En général, le débit baisse beaucoup. Donc, si tu ne les rends pas prioritaires (car peu nombreux) tu perds du débit en download dès que ton lien upload est occupé.
La freebox le fait d'office depuis pas mal d'années, çà change beaucoup la qualité du service.
Mais si tu upload pas, çà ne se voit pas. Le test est de simplement de downloader pendant que tu upload.