1. Как раздать доступ к этому вебресурсу своим пользователям без установки "лишней мишуры" (типа VPN-клиента), чтобы от пользователя требовалось только перейти по ссылке в браузере.
2. Как обезопасить подсеть организации от этого возможного вектора атак?
Чтобы для пользователей подключение было прозрачно, чтобы не давать им креды от VPN, чтобы они не творили, что вздумается в этом VPN, а пользовтели с другой стороны в вашей сети, в любом случае нужен шлюз, который будет контролировать подключение. На нем:
Запретите все входящие пакеты из подсети VPN по всем протоколам, кроме tcp (но не установление соединения), по icmp пусть отвечает только шлюз.
Запретите все исходящие пакеты в эту сеть, кроме icmp и нужного ip по протоколу tcp на нужный порт (или даже протоколу http/https, если есть такая возможность).
Есть ли решение элегантнее и проще?
Проще, шлюз без форвардинга, на нем nginx как proxy. При желании и его можно закрыть от сети VPN.