загнать адреса пользователей в адрес лист, загнать адреса серверов в адрес лист. создать запрещающее правило в форварде, где источник пользователи, назначение - адреса серверов. а выше делать разрешающие правила конкретному пользователю(ям) до конкретного сервера и порта.
я бы сделал новый маршрут по умолчанию в отдельной таблице пометив например ее VPN , где GW будет pptp . Затем в route rules создал бы правило, где src-address будет сеть 5го порта, загнать в свежеиспеченную таблицу маршрутизации VPN
