Mira en todas nuestras paginas colocamos esta sentencia al principio(en tu caso)

if Session("SesionExpirada") = "" then
Response.Redirect("../ErrPage/Mensaje.asp?ErrMessage=Session No inicializada or Expirada.")
End If

Con esto consigues que nadie entre a las paginas sin primero estar logeado.

en la pagina mensaje.asp, colocamos que direccione a la pagina de logon.asp

Lo que no entiendo es por que no se limpia esa variable, si aqui hacemos eso mismo aqui, y si funciona.