Aqui está a configuração final que resolveu nosso problema:
SetEnvIf User-IP (\d+\.\d+\.\d+\.\d+) REAL_USER_IP=$1
SetEnvIf Remote_Addr "(10\.1\.2\.3|192\.168\..+)" access_allowed=1
SetEnvIf REAL_USER_IP "(10\.1\.2\.3|192\.168\..+)" access_allowed=1
<Location /uri/>
Order deny,allow
Allow from env=access_allowed
Deny from all
</Location>
Parece que a permissão explícita do IP de origem era o problema, uma vez que o REAL_USER_IP poderia ser válido, mas a permissão explícita com IPs nele falhou.
Basicamente, agora encadeamos as instruções SetEnvIf para garantir que a variável de ambiente "access_allowed" seja definida se Remote_Addr ou REAL_USER_IP corresponderem aos nossos IPs - e permitir somente a variável de ambiente.