Как настроить доступ к внутренним ресурсам через VPN?

Судя по "Хочу поднять VPN-сервер на нем, чтобы отдавать один сайт."
"То есть не было доступа к 80 порту сервера до установления соединения по VPN. "
"Какой сервер тут лучше использовать и как ограничить доступ к нему из интернета?"

Замечено, что ты не очень хорошо представляешь себе, как именно это работает, и то, что ты хочешь сделать на самом деле, возможно делается не при помощи VPN а при помощи настроек того же веб сервера.
Подними его не на 80 порту а на каком-то другом.
Сделай доступ только для определенных IP адресов.
Настрой средствами HTTP авторизацию.

ВСЕ, не нужны никакие дополнительные сервера.

В двух подшефных организациях долго использовал OpenVPN, и для клиентских подключений, и для межсайтовой связи. Сейчас перешел на SoftEther VPN. подкупил удобством и универсальностью использования.

Если я правильно понял, то нужно отдавать сайт только тем, кто имеет доступ по VPN
Следовательно нужно поднимать сервер VPN, а на его интерфейсе внутреннем поднимать веб-сервер. Тем, кто подключился по ip будет доступен сайт

OpenVPN в режиме множественных подключений вполне сгодится. Веб-сервер подойдет любой, вам нужно лишь чтобы он слушал на нужных интерфейсах, а не на всех. Если сервер будет слушать на внутреннем интерфейсе, то и ограничивать особо ничего не надо (кроме стандартных настроек фаерволла). Само собой, OpenVPN демон должен слушать не внешнем интерфейсе.

У меня работает такая схема:
(1) tincvpn центральная нода на виртуальном сервере (LEMP) с белым ip.
(2) tincvpn обычная нода на рабочей машине (LEMP) во внутренней сети.

В конфиге nginx (1) для поддомена прописан proxy pass на адрес рабочей машины (2) + доступ закрыт через http auth средствами nginx.

Если vpn-соединения между (1) и (2) нет, то nginx отдаёт ошибку, если есть запрашивает авторизацию.

Я тут в соседнем вопросе на эту тему намутил ответ: Как достучаться до машины в VLAN сети за OpenVPN сервером?
Это будет фактически, минимальной конфигурацией для бесплатного сервера OpenVPN.
Как к этому прикрутить TLS есть куча манов в рунете. Да и как настроить с нуля тоже, собственно.