Можно поставить настройки роутинга и маршрутизации, не трогая фаервол.
Нужно отключить автоматическую настройку ip адреса, прописав его вручную (уменьшить диапазон dhcp на роутере и использовать адрес из освободившегося) и прописав неправильный шлюз по умолчанию, например эту же машину.
Интернет перестанет работать. Затем добавить route для vpn сервера по его адресу или подсетью, указав верный шлюз
route add ip_адресvpn mask 255.255.255.255
ip_твой_правильный_шлюз
Таким образом единственно доступный в интернете сервер будет vpn.
При подключении к vpn, будет добавлена маршруты через него, а при отключении вернутся эти неправильные настройки и интернет отключился.
Нормальные роутера позволяют настройку неправильного шлюза провести через dhcp сервер
