O tipo de comportamento de retorno que você parece esperar não faz parte de como o DNS deve funcionar. O segundo nameserver no resolv.conf só deve ser contatado no caso de o primeiro não responder ou se houver algum outro tipo de erro de rede.
A Microsoft aparentemente fez suas próprias coisas, e certamente é útil para o que você está tentando fazer, mas não deve ser confiável para configurar uma VPN. A Microsoft também tem uma noção de usar resolução de nome diferente para diferentes interfaces de rede.
Se você não pode influenciar a configuração VPN, sua melhor aposta no Linux pode ser configurar seu próprio servidor de nomes que decide para onde encaminhar solicitações por domínio.