Ejecutar algunos procesos y no otros a través de la VPN

Estoy buscando asegurar algunas aplicaciones en MacOS usando una conexión OpenVPN. Quiero que las aplicaciones no trabajar cuando la VPN no está activa. No puedo rastrear necesariamente los servidores a los que intentan acceder las aplicaciones, por lo que especificar manualmente las rutas, ya sea desde el servidor o desde el cliente, resulta prohibitivo. Tampoco quiero que todo el tráfico pase por la VPN.

Esto es lo que tengo hasta ahora:

1. Algo tiene que funcionar en la capa de aplicación para "capturar" todo el tráfico de una aplicación.
2. Algo más tiene que funcionar en la capa de red para tomar todo ese tráfico y empujarlo a través de la VPN.

Y luego necesito una forma de especificar qué aplicaciones y qué interfaz, y estar seguro de que si esa interfaz está caída o desconectada, no fluye el tráfico.

Hasta ahora creo que esto podría ser factible con pf (Encontré Murus, una interfaz gráfica de usuario), excepto que no parece ocuparse de las aplicaciones en sí, sino de las redes y los puertos, lo cual, como ya se ha dicho, es problemático.

Luego está Little Snitch que se ocupa de las solicitudes, pero que toma una decisión binaria de ir o no ir, en lugar de dirigiendo algo de tráfico aquí y algo de tráfico allá.

Dicho esto, he encontrado una característica no bien documentada en la que parece que se puede crear una regla para un proceso en Little Snitch y darle acceso a pf . Así que tal vez hay una manera de escribir un pf que dirige ese tráfico a través de la VPN.

Abierto a sugerencias.