Роутер, получаемый от впн-сервера должен становиться default-route, а старый хотя бы бОльшую метрику получать, а лучше — вообще затираться. Тогда трафик будет ходить только через шифрованый канал.
Только не подскажу, как это сделать — не знаю.
Прошу прощения, если сыграл в бесполезного КО.
