Когда то потребовалось организовать рабочее место так, чтобы исключить такую вероятность как утечка трафика (ip) мимо vpn в случаях разрыва соединение. Не просто уменьшить вероятность, а вообще исключить такую возможность.
В основе лежит виртуальная машина (virtualbox). Были разные варианты с созданием дополнительной виртуалки, которая будет выступать промежуточным шлюзом с поднятым openvpn и фильтом трафика, если будет разрыв. Но всё это было неудобно, геморойно. В итоге пришёл к приобретению дополнительного роутера, на котором и будет поднят openvpn. В моём случае это Mikrotik, но подобрать можно много других вариантов.
Смысл простой. В моём компе 2 сетевухи. Первая - смотрит в главный роутер-1. Вторая в роутер-2 (где поднят openvpn). В виртуалбокс сеть - сетевой мост со 2м интерфейсом.
Роутер-2 подключён к роутеру-1. На роутере-2 постоянно поднят openvpn. Шлюз по умолчанию к роутер-1 удаляю.
В таблице маршрутизации в ручную прописываю роут до ip адреса openvpn сервера. С помощью NAT настраиваю выход трафика через openvpn-интерфейс.
В результате получается, что трафик который попадает на роутер-2 идёт сразу в openvpn туннель. Если коннекта нет с впн, то трафик никуда не уйдёт, т.к. дефолтного (0.0.0.0/0) маршрута НЕТ. В фаерволе можно дополнительно понаписать своих правил, чтобы было.
Также, не забываем про DNS. В роутере-2 убираем все записи о днсах из роутера-1 и вставляем например гугл-днс (8.8.8.8 и 8.8.4.4.4). Настраиваем так, чтобы пользователю, подключившемуся к роутеру-2 выдавались именно эти днс. Это так же исключит возможность успешного резолва ненужных адресов, т.к. маршрутизация до этих ip будет отсутствовать в случае отсутствия поднятого опенвпн.
Это 1 шаг, который даёт безопасность в скрытие вашего настоящего ип. Но нам и этого мало. В самой виртуалке уже можно использовать любой другой впн, сокс.
Это очень краткая схема. Если нужны подробности в виде конкретных настроек, скриншотов под мой роутер, могу расписать.