Eu fiz algumas pesquisas e descobri que estava certo. De fato, como eu temia, 6 depois que as aplicações de desconexão da VPN revertem silenciosamente para a rota padrão. Para evitar isso, eu deveria usar o firewall.
# Default policies
ufw default deny incoming
ufw default deny outgoing
# Openvpn interface (adjust interface accordingly to your configuration)
ufw allow in on tun0
ufw allow out on tun0
# Local Network (adjust ip accordingly to your configuration)
ufw allow in on enp3s0 from 192.168.1.0/24
ufw allow out on enp3s0 to 192.168.1.0/24
# Openvpn (adjust port accordingly to your configuration)
ufw allow out on enp3s0 to any port 1194
ufw allow in on enp3s0 from any port 1194
E se você precisar que o DNS acesse seu servidor VPN:
# DNS
ufw allow in from any to any port 53
ufw allow out from any to any port 53