Isso não pode ser feito com o nível de especificidade que você exige. O postigo pegajoso é este:
I'd like to forbid access to one of the shares
Você não pode criar regras que restrinjam o acesso a um compartilhamento específico com base no endereço IP / sub-rede. Você pode restringir o acesso ao compartilhamento por conta de computador e permissões de grupo padrão do Windows, mas isso não ajuda, a menos que os computadores que chegam através da VPN sejam associados ao domínio e também nunca sejam exibidos simultaneamente na rede local de acessar o compartilhamento se estivessem passando pela VPN ou pela LAN).
O que você pode precisar fazer é separar esse compartilhamento em seu próprio servidor de arquivos. A partir daí, você pode restringir o acesso ao servidor como um todo com base em sub-redes usando o Firewall do Windows (ou regras IPSec, mas isso é feio e desnecessário).