Если допустим Вы настроили ovpn на своем личном серваке, подключились с проверкой сертификата, и пустили весь трафф внутрь,
то внутри него провайдер ничего не увидит.
Он увидит только шифрованное ovpn соединение и всё
Про человеческий фактор Сделать доступ до рабочих ресурсов только через VPN... И там уже рулить траффик
В таком случае человек не сможет подключить сторонний VPN, не разорвав соединение с офисом...
Нужен нормальный фаервол, а не виндовый. Либо прокси
С виндовым можно разве что разрешить исходящий http\https и DNS запросы. Остальное запретить И всё....
но может быть проблема работы стороннего софта. и думаю что тот же ovpn по 443 порту пролезет