Когда то потребовалось организовать рабочее место так, чтобы исключить такую вероятность как утечка трафика (ip) мимо vpn в случаях разрыва соединение. Не просто уменьшить вероятность, а вообще исключить такую возможность.
В основе лежит виртуальная машина (virtualbox). Были разные варианты с созданием дополнительной виртуалки, которая будет выступать промежуточным шлюзом с поднятым openvpn и фильтом трафика, если будет разрыв. Но всё это было неудобно, геморойно. В итоге пришёл к приобретению дополнительного роутера, на котором и будет поднят openvpn. В моём случае это Mikrotik, но подобрать можно много других вариантов.
Смысл простой. В моём компе 2 сетевухи. Первая - смотрит в главный роутер-1. Вторая в роутер-2 (где поднят openvpn). Виртуалка Виртуалбокс Сеть - сетевой мост со 2м интерфейсом.
Роутер-2 подключён к роутеру-1. На роутере-2 постоянно поднят openvpn. Шлюз по умолчанию к роутер-1 удаляю.
В таблице маршрутизации в ручную прописываю роут до ip адреса openvpn сервера. С помощью NAT настраиваю выход трафика через openvpn-интерфейс.
В результате получается, что трафик который попадает на роутер-2 идёт сразу в openvpn туннель. Если коннекта нет с впн, то трафик никуда не уйдёт, т.к. дефолтного (0.0.0.0/0) маршрута НЕТ. В фаерволе можно дополнительно понаписать своих правил, чтобы было.
Также, не забываем про DNS. В роутере-2 убираем все записи о днсах из роутера-1 и вставляем например гугл-днс (8.8.8.8 и 8.8.4.4.4). Настраиваем так, чтобы пользователю, подключившемуся к роутеру-2 выдавались именно эти днс. Это так же исключит возможность успешного резолва ненужных адресов, т.к. маршрутизация до этих ip будет отсутствовать в случае отсутствия поднятого опенвпн.
Это 1 шаг, который даёт безопасность в скрытие вашего настоящего ип. Но нам и этого мало. В самой виртуалке уже можно использовать любой другой впн, сокс.
Это очень краткая схема. Если нужны подробности в виде конкретных настроек, скриншотов под мой роутер, могу расписать.

вставляем например гугл-днс (8.8.8.8 и 8.8.4.4.4). не хорошая идея https://txgate.io/images/smilies/sad.gif.
http://www.dnsleaktest.com https://txgate.io/images/smilies/popcorm.gif
</br></br></br>

Delete

днс трафик тоже будет идти через туннель, поэтому мимо)

Пока что не понял зачем что бы сетевая смотрела в роутер 1, но суть в том, что при подобной схеме, есть еще один минут, который заключается в том что палится ip внс при rtc а следовательно нужно еще 2 дополнительных роута и тогда будет легитный адрес и днс кх и роутера и ничего лишнего
Добавлено через 1 минуту 57 секунд
По этому более актуально, как поднять ddwtr x86 что бы при этом при перезапуске сохранялся конфиг
</br></br></br>

Если настолько хочется юзать публичные DNS, вместо DNS твоего vpn-а например, то тогда стоит накатить dnsCrypt. Из плюсов:
+днс-запросы шифрованные, ваш провайдер вообще не будет видеть какие сайты вы посещаете
+не маленький список DNS-серверов разных стран
+многие DNS-сервера не ведут логов
</br></br></br>

Роутер 1 это главный роутер с интернетом от провайдера. В него смотрит сетевуха-1. Через неё идёт весь трафик с компьютера.
А виртуалка имеет выход через сетевуху-2, которая смотрит в роутер-2 (опенвпн) https://txgate.io/images/smilies/ok.gif
Этим мы исключаем любую вероятность прохода трафика через канал провайдера (в т.ч. днс)
палится только ип выданный, роутером-2.
В моей схеме рекомендовано использовать дополнительный впн в самом виртуалбоксе, тогда WebRTC выдаст ип этого впн сервиса. https://txgate.io/images/smilies/ok.gif
В моей схеме днс запросы идут через туннель. (гугл днс)
</br></br>

Да но ты не понял сути вопроса. Я за то что первый роутер не где не должен смотреть что т овроде Инет-&gt;Роут1Ван-&gt;Роут1Лан-&gt;Роут2Ван-&gt;АПОпенВПНСервер-&gt;Роут2Лан-&gt;Лан1-&gt;Вируалка+ОпенВпнКлиент но а там уже почти правильно пишешь, т.к. в данной схеме должен быть между роутером 1 и 2 приватный впн, а не вирт, т.к. к провайдеру ты пускаешь траф в открытом виде