Beim Split-Tunnel musst Du die allowed-ips entsprechend konfigurieren. Die werden benutzt um zum einen nur Pakete von diesen IPs aus dem Tunnel zu lassen und zum anderen für die Routing Table, also welche Ziel IPs durch den Tunnel erreichbar sind.
Wenn der komplette Traffic in den Tunnel soll hast Du da einen Wert der mit 0.0.0.0 anfängt bei allowed IPs.
Der darf bei Splitt-Tunnel nicht dabei stehen. Dafür kommt dann z.B. 172.16.0.0/24 dazu (kommagetrennt) wenn die Pakete an die IPs von 172.16.0.1 bis 172.16.0.254 durch den Tunnel raus sollen und auch aus dem Tunnel raus. Die Netz- und/oder Hostadressen musst Du alle bei allowed IPs mit angeben für die Adressen die Du durch den Tunnel erreichen willst.
Und natürlich die Firewallregeln checken, damit nicht irgendwo die Pakete oder Antwortpakete geblockt werden. Wenn man VLANs in LAN IN Regel mit der üblichen Quelle: alle priv. IP Netze und Ziel: alle priv. IP Netze blockiert, dann hat man meist schon einen "Störenfried".