[El Scorpio]

Цитата Dan Swano:

организовать туннель между веб-сервером и OpenWRT-роутером, например, поднять на OpenWRT сервер OpenVPN »

Можно.
При этом вёб-сервер получит ещё один IP-адрес (интерфейс виртуального канала).

Цитата Dan Swano:

заворачивать трафик на 80 порт в туннель. »

Если в NAT на роутере настроить проброс порта 80 на "виртуальный" IP-адрес вёб-сервера, то входящие пакеты будут приходить на вёб-сервер по каналу VPN.
Однако поскольку у этих пакетов адрес отправителя будет соответстовать реальному адресу клиента, то ответный трафик будет отправляться клиентам напрямую через Default gate сервера. Таким образом клиенты будут получать ответы с совершенно другого адреса. Будет ли работать такая "треугольная" связь - не знаю.
Чтобы избежать треугольника, придётся назначить канал VPN основным шлюзом, и весь трафик этого сервера будет идти через внешний роутер.

Другой вариант - использование обратного прокси-сервера.
То есть на роутер устанавливается прокси (SQUID иная служба), на NAT перенаправляет входящий трафик на порт службы прокси, в локальный DNS прописывается внутренний адрес искомого сервера. Таким образом прокси получает запросы от клиентов из внешнего мира, пересылает по каналу VPN на сервер, сервер отправляет ответы по каналу VNP на маршрутизатор (для службы прокси), прокси возвращает ответы клиентам.