Это как у тебя настроено. если у тебя настроен vpn верно, то весь трафик идущий у тебя из сети будет заворачиваться в виртуальный туннель. При его разрыве юзер не должен видеть дальше vpn-сервера. А если у тебя трафик натируется еще и в обход туннеля, то это неправильная настройка (если так сразу не подразумевалось, конечно) .
Можешь просто сделать DROP всем пакетам идущим на сервер по протоколам pop3, imap, smtp, ftp, http, https (делать политику "запретить все, кроме" не советую, если не знаешь, что нужно для работы, например ICMP и т. п.) . Вообще, если у тебя pptp, то это порт 1723 и протокол GRE (47)