Tu ho máme, jak jsem čekal. Může za to řádek:
push "redirect-gateway def1"
Mimochodem je tam dvakrát za sebou, jeden z nich je možné smazat. Ve zkratce: def1 způsobí to, že se neodstraní výchozí brána a místo toho se přidají dvě specifičtější routy (0.0.0.0/1 a 128.0.0.0/1). Při výpadku se pak použije původní výchozí brána a spojení běží dál. Má to taky své nevýhody (zacyklení při výpadku fyzického rozhraní), ale je to obvykle to, co uživatel chce.
Vy ale tohle nechcete, chcete smazat výchozí bránu a vše hrnout za všech okolností do VPN. Když VPN není, tak není kam co posílat a spojení neexistuje. Řešení tedy spočívá v odstranění parametru def1 a znovunačtení konfigurace.