Com o comando, se você usar o servidor pptp
last |grep ppp
vai ver algo assim
xxxxx1 ppp0 xxx.xxx.xx.5 Fri Oct 30 11:19 still logged in
xxxxx1 ppp0 xxx.xxx.xx.5 Fri Oct 30 11:18 - 11:19 (00:00)
xxxxx1 ppp0 xxx.xxx.xx.5 Fri Oct 30 11:17 - 11:18 (00:01)
xxxxx ppp0 xxx.xxx.xx.6 Fri Oct 30 11:13 - 11:16 (00:03)
xxxxx ppp0 xxx.xxx.xx.6 Wed Oct 7 12:37 - 12:50 (00:13)
xxxxx ppp0 xxx.xxx.xx.6 Wed Oct 7 12:34 - 12:35 (00:01)
usuário pptp. duração da conexão também começa e termina. Com base no tempo de abuso você pode comparar o tempo de conexão vpn e encontrar o usuário vpn. Eu acho que uma pessoa usa um usuário vpn.
Você pode adicionar um endereço IP fixo por usuário vpn e depois disso monitorar o tráfego com iptables
Exemplo muito bom para definir ip accounting
você tem aqui