Como lidar com o cliente OpenVPN como um serviço, quando o laptop já está fisicamente na rede?

A configuração

Eu obtive o OpenVPN trabalhando em nossos laptops com Windows XP. Os usuários são limitados, então fui em frente e configurei o cliente OpenVPN para rodar como um serviço, o que é ótimo, porque isso significa que eles estão na VPN antes de fazer login, então os scripts de login funcionam, além disso podemos fazer suporte remoto mesmo que o usuário possa não logar (como conectar via VNC ou redefinir senhas). Ele também é configurado para enviar todo o tráfego pelo túnel, portanto, quando, por exemplo, eles navegam na Internet, é como navegar pela nossa rede corporativa.

O (s) Qestion (s)

Então, eu estou querendo saber como o cliente OpenVPN atua quando o computador já está fisicamente na mesma rede que o servidor OpenVPN? No momento, o cliente está configurado para conectar o nome dns público que será resolvido ao endereço IP público, que NÃO será refletido de volta ao servidor OpenVPN, portanto, é bloqueado de forma afetiva para se conectar ao servidor OpenVPN enquanto estiver na rede. Isso é uma coisa boa? Ou será que ele tentará se conectar constantemente, usando recursos do sistema e recursos de rede? Provavelmente teremos centenas de laptops regularmente na rede física com isso, para que isso possa contribuir para muitas conversas desnecessárias na rede.

Alternativamente

Seria melhor que o firewall refletisse a porta de volta para o servidor OpenVPN e permitisse a conexão? Ou nosso dns interno resolve o nome para o ip privado e permite que eles se conectem diretamente? O tráfego passaria então pela conexão vpn (que eu não quero, quando já estou na rede física)? Ou é possível dizer a ele para ignorar a conexão quando o cliente e o servidor já estão na mesma rede?

TLDR

Qual é a maneira sadia de lidar com o cliente OpenVPN sendo executado como um serviço sempre ativo quando o cliente e o servidor estarão frequentemente na mesma rede?