Точно?
Я думал, что это выглядит так:
1.1.1.0/24 <-> 1.1.1.42 <-OpenVPN-> 2.2.2.42 <-> 2.2.2.0/24
И компьютер 1.1.1.11 или не видит 2.2.2.22, или именно по этому адресу его и видит. Вот если бы он его видел напрямую как 2.2.2.22 и через VPN как 10.0.2.22, было бы замечательно.

Точно только бог может, и то предположительно . Я обычный человек, могу ошибаться. Лично точную копию вашей задачи не решал. Если обе подсети в вашем примере подключены к одному OpenVPN серверу, тоесть у каждого из компьютеров по 2 IP: свой реальный и OpenVPN виртуальный — то все друг друга будут видеть. Если серверов OpenVPN несколько — то нужно настраивать роутинг между ними.

Я почитал много всяких мануалов, не хватает только одной мелочи: как задавать политику для всех адресов/портов, кроме заданных?

Да вообщем-то как обычно. Цитата из какой-то technote: "The Windows IP Security module automatically creates
an internal filter list and orders the filters from most specific to least specific". Так что создаем два правила. Первое — "для всех — шифровать". Второе — "а вот для этой подсети — не шифровать". Ну и вообщем-то все.

Но, ИМХО, для такой сложной задачи я бы все же порекомендовал позвать админа чтобы он все один раз настроил и показал. А потом уже и сами будете . Это будет проще по деньгам, по времени и не будет шанса где-нибудь поломать безопасность.