FragMaster, подождите ка... если
Почему бы просто не заблокировать всем ВМ выход в интернет кроме одного адреса "OVPN сервер(внешний IP)" ?
Нет VPN - нет интернета.
у Вас сделано, то ВМ не сможет выйти в инет... чисто физически...
Ну как вариант попробуйте микротик и далее маркировкой трафика... ну тоесть до микротика доступ у ВМ есть, а само правило NAT появляется только при подключении OVPN клиента, соответственно добавляется NAT правило. Либо NAT сразу прописать, а добавлять\удалять роут... динамически