Két észrevétel:
Az L2TP kikopik lassan a biztonsági szintje miatt.
Ha IPSec-re váltasz, praktikusan IKEv2-re (StrongSwan kliens ugyanúgy ingyenes és megy Androidon is, ráadásul a cerificate-es verzió biztonságosabb a PSK-nál), akkor is csak 1 db client-2-site VPN tunneled lehet. Emiatt megoldandó a problémádat (bár én erre 2 tűzfalat használnék külön APk-kal, de értem a szitut) egy út áll előtted, bekapcsolni a WEB Authentication-t.
Ezzel azonosítasz mindenkit aki kimenne az internetre user szinten, ergo policy route-ot és tűzfalszabályt is alkothatsz user alapon. Más megoldást nem látok, közös lónak mindig túrós a háta. Aki VPN-en megy be, eleve authentikál a felhasználónevével, azokat is meg tudod onnantól kezdve különböztetni.
Remélem tudtam segíteni.