Прошу прощения за некропостинг, но я таки нашел решение, не смотря на ограничения винды. Частично пишу для себя, как пометку, на всякий.
0. Создаем подключение VPN, ставим галку "Разрешить юзать всем юзерам". Основной шлюз - выключить. Тут кому как.
1. В планировщике создаем задачу на запуск подключения - %SystemRoot%\System32\rasdial.exe <имя_подключения> логин пароль
2. Запуск задачи каждую минуту от имени СИСТЕМА с наивысшими правами.
3. Если не ставили Основной шлюз, прописываем маршрут в нашу LAN. Подключение происходит от СИСТЕМА, поэтому маршрут должен быть прописан от того же юзера:
3.1. Запускаем оболочку - PsExec -i -s powershell
3.2. Проверяем, под кем она работает - whoami, должно быть система
3.3. Прописываем маршрут - netsh interface ipv4 add route 192.168.33.0/24 <имя_подключения>
3.4. Переподключаемся, сразу может не заработать.

Готово.