Prinzipiell ist eine Firewall dafür zuständig, Zugriffe zwischen Netzwerken zu reglementieren. Ein VPN ist aber keine Firewall. In deinem Szenario läuft die Firewall auf dem PI selbst, in Form von iptables/nftables.
Die Frage ist was du nun ganz genau damit bezweckst. Soll der Zugriff auf die fragliche IP-Adresse von diesen Geräten knallhart unterbunden werden, um beispielsweise Hacks, o.ä. zu verhindern, oder geht es dabei eher darum, dass keine unbeabsichtigen Fehlbedienungen passieren?
Der knallharte Block in der Firewall:
Dies bedarf tatsächlich einer entsprechend konfigurierten Firewall im PI. Allerdings muss man dabei bedenken, dass zB ein Block über die IP des Endgeräts nur bedingt sinnvoll ist, weil IP-Adressen im speziellen keine verlässliche Identifikation zulassen - man kann IP-Adressen ja ändern.
Client-spezifische Firewallkonfigurationen sind zwar möglich, aber tricky.
Besonders wichtig in diesem Zusammenhang: Das blinde Nachklicken von Firewall-Tutorials oder etwaigen Vorlagen aus einem Forum ist mit großer Vorsicht zu genießen. Man muss ein Mindestmaß an Verständnis mitbringen was dort passiert, weil man sich im Zweifelsfalle auf die Konfiguration eines Fremdem verlässt und in Sicherheit wähnt, obwohl die abgetippte Vorlage beliebig viele Fehler enthalten kann.
Die Fehlbedienungen:
In diesem Fall geht es nicht um Sicherheit im eigentlichen Sinne. Eine Lösung über die Firewall ist nicht zwingend nötig und man kann zB mit Anpassungen innerhalb der Client-Konfiguration arbeiten. Du hast ja selbst schon erwähnt, dass du zwei Profile hast, eines für "alles via VPN" und ein zweites für "nur Heimnetzwerk via VPN". Dies bezieht sich jedoch ausschließlich auf das Routing, also das "Was-soll-wohin" und nicht das "Wer-darf-was". Dabei wird dem Client also lediglich ein Wegweiser in die Hand gedrückt, der entweder sagt "Alles geht da lang" oder "Nach Hause geht's da lang". Bei letzterem behält der Client sein bisheriges Schild, auf dem dann noch sinngemäß steht "Alles andere geht immer noch da lang".
Dies kann man jedoch weiter einschränken und in der Client-Konfiguration eben nicht "alles" oder "das komplette Heimnetzwerk" durch das VPN routen, sondern explizit nur einzelne IP-Adressen. So könnte man eben bei "Allowed IPs" nur jene IP-Adressen listen, auf die der Client via VPN zugreifen soll. Alle anderen IPs aus demselben Heimnetzwerk würde der Client an seinen lokalen Router schicken, der daraufhin nur sagt: "What? Keine Ahnung was ich mit dieser IP anfangen soll, kenne ich nicht -> Mülleimer".
Aber: Wenn die Konfiguration am Client händisch geändert wird, besteht wieder voller Zugriff. Dies ist also keine Sicherheitsmaßnahme, sondern maximal eine Vorsichtsmaßnahme. Fällt das Gerät in die falschen Hände, ist mit einem kurzen edit das Heimnetz wieder offen.
Also, welches dieser beiden Szenarien willst du bedienen? Voll in die Verwaltung von Linux-Firewalls einsteigen oder nur verhindern, dass der Technikdummy "Papa" irgendwas falsches anklickt?