No caso geral, você deseja permitir a porta em todas as interfaces e, em seguida, usar um firewall para descartar todas as conexões nessa porta, exceto através do intervalo de IP da VPN (e localhost)
Se você conseguir fazer isso funcionar, a regra seria algo como
iptables -t nat -D PREROUTING -i tun+ -p tcp --dport 8000 -j DNAT --to-destination 127.0.0.1
(O tun + bit significa qualquer dispositivo tun)
Para que isso funcione, provavelmente você também precisará ter duas outras coisas definidas -
sysctl -w net.ipv4.conf.all.route_localnet=1
echo 1 > /proc/sys/net/ipv4/ip_forward