Adicione uma regra de firewall no segundo servidor para aceitar somente o tráfego ssh proveniente de um dos endereços que o servidor VPN (Open) distribui.
Se o tráfego da VPN entrar no servidor 2 em uma interface especial, você também pode configurar o sshd para escutar apenas isso.