После поднятия VPN соединения на роутере у него будет внешний адрес в WWW.
Во внутренней сети будут, к примеру:
роутер 192.168.1.1
компьютер 192.168.1.2
ноутбук 192.168.1.3
В качестве шлюза на компьютере и ноутбуке надо указывать адрес 192.168.1.1.
Например, переписываем файл с ноутбука на компьютер. TCP пакет с адресом назначения 192.168.1.3 летит с компьютера на ноутбук. Приходит на роутер. Роутер посылает его на адрес 192.168.1.3. Всё.
Теперь с WWW. Пакет с исходным адресом 192.168.1.2 (компьютер) и адресом назначения 216.239.59.104 (google.ru) летит с компьютера на 192.168.1.1 (роутер). Роутер не находит во внутренней подсети этого адреса. Меняет исходный адрес на свой внешний (VPN) и посылает в WWW. С полученными пакетами делает наоборот - меняет адрес назначения со своего внешнего на внутренний (192.168.1.2) и посылает их во внутреннюю сетку. Это и есть
NAT.
