Neste momento (janeiro de 2017), não parece haver uma solução de fato. O assunto foi discutido com bastante detalhe neste post Implementar o isolamento do X11 - não tenho certeza se houve mais alguma coisa desde .
firejail retorna o seguinte erro com um dispositivo tun --net , e não algo com o qual uma VM normalmente teria um problema:
Error: the software is not supported for /31 networks
Uma interface TAP pode ser conectada, existem VPNs TAP disponíveis ( ibVPN para uma que eu acho).
Eu implementei um proxy ssh forwarding (socks) com base nas instruções fornecidas neste artigo Firejail com o Tor HOWTO .
Veja este post também sobre como configurar um proxy de redirecionamento HTTP ponte para o proxy http .
Editar 17 de fevereiro de '17:
Integração com o OpenVPN link