перенаправление портов только для клиентов vpn на маршрутизаторе draytek vpn

У меня есть VPN-сервер, настроенный на vigor 2865. Теперь я хочу разрешить одному внешнему IP-адресу или любому, кто подключен к этому vpn, доступ к веб-сайту на внутреннем сервере. Этот веб-сайт использует общедоступное имя DNS для разрешения моего общедоступного IP-адреса. например mysite.mycompany.com

Если я перенаправлю 80/443 на внутренний сервер, то любой сможет получить доступ к сайту. Это прекрасно работает.

Если я добавлю правило брандмауэра, разрешающее доступ только к внешнему IP-адресу, это также будет работать нормально.

Я думал, что могу просто изменить правило брандмауэра, чтобы разрешить общедоступному IP-адресу vpn/маршрутизатора доступ к клиентам vpn, но это не работает. Если я пойду в https://www.whatismyip.com/, мой IP-адрес меняется при подключении к vpn, но брандмауэр не пропускает этот IP-адрес, несмотря на то, что он настроен на это.

Если я настрою брандмауэр на использование моего домашнего IP-адреса, он сработает, но я не хочу настраивать частные IP-адреса всех сотрудников для предоставления доступа.

Как настроить брандмауэр/переадресацию портов, чтобы разрешить только клиентам vpn?