I'm not an expert in VPN, so I'm curious about how well does a router
with installed vpn defend against an mitm attack. Since ARP Spoofing
can decrypt https, I'm concerned if it's able to decrypt a vpn too.
Lo spoofing ARP non può decodificare il traffico HTTPS. HTTPS "siede più in alto" nello stack di rete e quindi il livello 2 non può "vedere dentro" il pacchetto. Può però fare cose al pacchetto, come cambiare l'indirizzo della macchina fisica di chi lo ha inviato o dove sta andando. Ma sicuramente non può decifrare il pacchetto
Also will the hacker be able to DOS your internet connection?
Un utente malintenzionato potrebbe causare una negazione del servizio a qualsiasi servizio che si trova pubblicamente su Internet se ha una larghezza di banda sufficiente a superare la larghezza di banda in ingresso. Non vedo però che il DOS sia un problema nel contesto del tuo router che è ARP contraffatto.
Then, what if let's say one of the device using the vpn is
compromised? Will the hacker be able to use it to hack the rest of
your devices?
Sì - Se la VPN non è segregata dal resto della rete tramite dire un Firewall e gli altri host non hanno firewall basati su host adatti.