Ao explicar isso, o nome da interface é importante. Vou criar um exemplo e explicar aqui.
Esta é a tabela de roteamento antes de se conectar à VPN. Nós temos nossa interface primária na 10.0.2.0/24- rede, endereço IP 10.0.2.15, rota padrão - > 10.0.2.2. Tudo ocorre na eth1.
k@workstation:~$ ip r
10.0.2.0/24 dev eth1 proto kernel scope link src 10.0.2.15 metric 1
default via 10.0.2.2 dev eth1 proto static
Esta é a tabela de roteamento depois de se conectar à VPN. A primeira entrada adicionada é exatamente como sua pergunta; O endpoint VPN através do nosso antigo gateway primário, através da eth1. Ele também adiciona a rede local para o novo endereço IP que acabei de obter. E então ele muda o gateway padrão para passar pela VPN.
k@workstation:~$ ip r
123.123.123.123 via 10.0.2.2 dev eth1 proto static
10.8.0.21 dev tun0 proto kernel scope link src 10.8.0.22
10.8.0.1 via 10.8.0.21 dev tun0 proto static
10.0.2.0/24 dev eth1 proto kernel scope link src 10.0.2.15 metric 1
default via 10.8.0.21 dev tun0 proto static
A rota garante que o tráfego para o ponto de extremidade da VPN flua pela interface de rede física e não tenta rotea-lo por meio da VPN, pois isso seria impossível, já que o tráfego é encapsulado pela rede física.
Mesmo que o gateway principal não seja alterado, o software de VPN geralmente fará isso apenas no caso do ponto de extremidade da VPN estar localizado na mesma sub-rede do seu novo endereço IP. É também por isso que você não pode falar com o ponto de extremidade VPN no mesmo endereço IP e esperar "conectividade local" após a conexão ser estabelecida.
(O exemplo é feito usando o OpenVPN)