Если кратко - ничего невозможнго в данном случае нет. Вам просто придется несколько изменить подход к настройке сервера. К примеру, не просто маскарадить тиаффик от VPN-клиентов, а завернуть через iptables в "прозрачный" прокси типа Squid и в нем разрулить правилами и acl кому куда можно. Это не потребует настройки прокси у клиентов, они не будут даже знать его существовании. Правда возникнет ряд ситуаций, с которыми придется колдтвать. Например SSL-сертификаты доменов, если захотите не просто редиректить на внутренний ресурс, а подсовывать свой контент по оригинальному имени домена.
P.S. это исключительно теория
