Можно сделать локальный DNS-сервер, который будет банить домены к которым нельзя подключаться с Вашего айпи, и указать в настройках впна работающий DNS-сервер (8.8.8.8, например) чтобы домены резолвились только с впн-туннелем. Но!!! TTL должен быть очень низким чтобы после отключения впна устройство/роутер "не помнило" домен и подключилось к локальному DNS-серверу чтобы узнать домен (а там у вас бан домена и устройство не подключится к домену).
DNS-сервер можно поднять хоть на том же устройстве, где вы сидите, или на роутере