Идеально:
Сделать две виртуалки, в одной что-то вроде шлюза, например pfsense, в ней поднять vpn и дать ей выход в сеть, а второй разрешить ходить в сеть только через эту виртуалку
girdoe, я долго думал, что написать в свою защиту и почему такой способ не подходит, но не нашел доводов, просто с виртуалками будет лучше, в безопасности не должно быть полумер, а ну как случайно не туда ткнёте и весь трафик потечет открытым, перестрахуйтесь...