Uma solução comprovada para isso é criar uma rota blackhole. Uma rota blackhole é uma rota estática que descarta todo o tráfego (o alvo é um 'buraco negro').
Eu não sou proficiente em MacOSX, mas como um sistema operacional * nix você provavelmente pode criar rotas estáticas. A idéia é criar uma rota para a sub-rede privada por trás de sua VPN (por exemplo, para 192.168.30.0/24) com o dispositivo nulo ou bh como destino. É importante que o parâmetro distance dessa rota blackhole esteja definido como 254 - qualquer outra rota para essa sub-rede, como a definida pelo seu software VPN, terá uma distância menor.
Enquanto o software VPN estiver em execução, haverá duas rotas para a sub-rede de destino; mas apenas o menos caro com uma distância menor estará ativo. Este será sempre aquele que aponta para a VPN. Se o software da VPN não estiver em execução, apenas a rota blackhole permanecerá, descartando todo o tráfego.
Em um firewall ou roteador de hardware, você de fato instalaria rotas blackhole para todos os intervalos de endereços de sub-rede privados no RFC1918 para abranger todas as VPNs presentes e futuras.