Saludos, bueno al parecer tienes un solo problema que es que deseas denegar una ip del pool de la vpn (corriegeme si me equivoco) pero primero yo te sugeriría que crees al inicio de la regla una de bloque a todo luego de esto las reglas que si tendrán acceso y por ultimo una regla de registro. Me avisas como te fue.