Вариант - вместо роутера поставить минимальный сервер (можно на обычном несерверном железе), с него - подключение в инет через VPN, и далее этот сервер раздает полученный через впн инет на всех пользователей офиса. Для сайтов, трафик к которым не нужно шифровать - прописываем на сервере статические маршруты, в обход ВПН. Получается немного наоборот (нужно будет указать список не список сайтов, к которым шифровать - а список к которым НЕ шифровать), но вполне работоспособно.
Теоретически, функционал поднятия VPN можно сделать и прямо на роутере - если он перепрошивается и существует соответствующая задаче прошивка с установленным пакетом openvpn.