Убрать default route в системе. Вручную прописать роуты до необходимых адресов (VPN-сервера, DNS). При падении VPN не будет в системе ни одного лишнего маршрута и трафик не сможет никуда уйти.
Как вариант, дефолт сделать так: ip route add unreachable default с метрикой больше любого роута в VPN. Либо зарезать средствами iptables. Но это уже средствами network-manager или что там используется может быть сложнее сделать.
