Oi amigo!
Tem sim como realizar este "balencamento" no meu caso eu realizaria da seguinte forma:
A "escuta" das conexoes VPN seria diferenciadas por um dns vpnempresa.com.br e no seu DNS vc especificasse qual interface ele iria "escutar" e a saida no isa vc informa a interface que irá atender as solicitacoes da VPN.
Como vc quer diferenciar a vpn do restante do link, transforme a outra interface na sua interface externa, e todos os pacotes que nao forem da VPN sairao por ela.
Espero ter ajudado!