Некоторая форма переадресации портов, как описано, будет работать, хотя и выглядит довольно хакерской.
Я предлагаю сосредоточиться на том, что «если сервер подключен к VPN, он недоступен извне компании». Это что-то, что исправит сетевая команда вашего клиента (или, может быть, ваша собственная). Не позволяйте им говорить вам, что именно так работают VPN, потому что они не должны работать таким образом: вполне возможно направлять только префиксы, принадлежащие компании, через VPN и остальные напрямую.
Возможно, отчасти проблема заключается в том, что VPN-сервер применяет к веб-серверу те же политики, что и к соединениям с компьютеров сотрудников. Я бы сказал, что у них должны быть разные правила по разным причинам. (Например, представьте, что администраторы VPN решают потребовать авторизацию с помощью смарт-карты ... разрывает соединение с вашим сервером. Если они решают потребовать, чтобы ПК имел определенную версию Windows или определенную антивирусную систему ... разрывает соединение с вашим сервером.)