Non proprio, no.
In primo luogo, alcuni termini. Lei parla dello spoofing ARP; questo non è qualcosa che puoi rilevare a livello IP. ARP è ciò che ti dice quale indirizzo MAC indirizzare i tuoi frame per inviarli ad un dato IP; Lo spoofing ARP significa che si pensa di inviarli all'IP corretto, ma il dispositivo li indirizza all'utente malintenzionato sul livello MAC. Questo può, tuttavia, essere rilevato dal software che monitora il traffico ARP (prestando attenzione agli aggiornamenti ARP e notando quando qualcuno ne invia uno che sembra in conflitto con un aggiornamento precedente).
La difesa per un attacco MitM su un VPN basato su TLS è certificati (altri usano segreti condivisi). Qualcuno con un certificato forgiato è andato ben oltre la fase "fatto i compiti", nella fase "questo è un attaccante serio con capacità serie". Affidarsi a cose che non sono progettate per fermare un MitM in alcun modo e sono facilmente replicabili (come un indirizzo RFC 1918 o l'elenco di porte aperte) non è probabile che funzioni. Se il cattivo ha le capacità che la tua domanda implica, può semplicemente inoltrare tutti i pacchetti sul router invariato tranne per quelli con cui vogliono fare confusione. Non è possibile rilevarlo, ad eccezione della verifica della chiave pubblica del certificato VPN rispetto a un valore noto, o del rilevamento dello spoofing ARP in primo luogo.
Ci sono altre cose che un utente malintenzionato potrebbe fare; per esempio, potevano creare un AP rogue collegato a quello reale. Ciò non implica lo spoofing ARP e non può essere rilevato a livello IP. Non è poi così difficile.
In sostanza: ci sono modi per fare un attacco MitM. Per evitare ciò, sono stati inventati i certificati; il punto di un certificato su una VPN è prevenire gli attacchi MitM. Stai chiedendo come evitare un MitM mentre presumi che la cosa progettata per quello scopo sia stata compromessa.