1.Для начала определите, что не дает возможность выходить в Интернет в Вашей сети, вне домена.
2. Можно GPO использовать для указания dhcp сервера принудительно. Если машина в домене, то слушаем dhcp A, иначе слушать dhcp B.
3. Подсеть для VPN настраивается на стороне сервера VPN.