Не обязательно заворачивать весь трафик в впн. Достаточно серверу отдать на клиент маршрут только до нужного хоста или сети. Тогда клиент в инет будет ходить как обычно и только на адрес программы через впн.
Ограничения на доуступ к локальной сети или к самому впн серверу настраиваются файрволом. На линуксе все это настраивается достаточно просто. На винде наверное тоже, только с файрволом нужно поколдовать.