Você pode usar a diretiva down na configuração do seu cliente para disparar um script personalizado quando a conexão cair. No script, você pode fazer várias coisas para limitar as conexões de rede pública. Aqui estão minhas idéias:
- Configure alguns iptables que só permitem conexões com o servidor VPN, todas as outras conexões são descartadas. Claro, não se esqueça de remover essa restrição quando o cliente voltar para cima
- Modifique o arquivo resolv.conf para limitar ou desativar a resolução de nomes
- Incorpore tabelas de roteamento personalizadas