Servidor RRAS VPN no 2008R2 - duas sub-redes, como uso o DHCP?

Esta deve ser uma configuração de VPN RRAS relativamente direta, mas não estou obtendo o comportamento que desejo.

Eu tenho duas sub-redes, uma sub-rede do Prod Server e uma sub-rede do cliente. Ambos são publicamente roteáveis. Eu criei um servidor VPN (Win 2008R2) com um NIC em ambas as sub-redes. O DHCP está sendo executado em um único servidor na sub-rede do servidor, e os clientes obtêm seus pedidos encaminhados ao servidor por meio de um IP-Helper configurado no roteador.

O que eu gostaria é que os clientes VPN se conectem ao servidor VPN usando a interface na sub-rede do Servidor (onde posso gerenciar mais facilmente as regras de firewall), mas depois obter endereços IP na sub-rede do cliente via DHCP. Isso é possível? Não consigo descobrir como dizer ao RRAS qual interface usar para obter seu bloco de 10 endereços IP DHCP.

Eu posso colocar o IP da VPN pública na sub-rede do cliente, se necessário, e tentei de fato isso. Eu tentei com e sem agentes de retransmissão DHCP configurados no RRAS.

Eu sempre obtenho um dos três resultados:

1. Nenhuma conexão com a VPN - "Erro ao atribuir endereço IP interno ao inicializador no modo de túnel".
2. O cliente conecta e obtém o endereço APIPA (169.254.x.x)
3. O cliente se conecta e obtém com êxito o endereço IP do DHCP - da sub-rede SERVER.

Existe alguma maneira de fazer isso com o DHCP real? Ou devo usar a opção "pool de endereços estáticos"?