Eu sugeriria o uso de iptables. O fórum do archlinux tem um bom artigo sobre como isso é feito. Veja o link ou talvez melhor ainda o post no fórum do airvpn . Provavelmente precisará se adaptar em algum grau. No primeiro caso, em suma, cai toda a saída por padrão e, em seguida, permite a saída em rede local e vpn. No segundo caso, abordado por combinação de encaminhamento e descarte. Fazendo uma busca por algo como "bloquear vpn desconecta iptables" ou "vpn desconectar iptables tomate" trará scripts semelhantes.
Sob o tomate, esses scripts podem ser inseridos por meio da interface gráfica do usuário por meio de Administração- > Scripts- > Firewall.