Como você está passando pela VPN primeiro, seu proxy não tem controle sobre as solicitações.
Acho que sua melhor opção é resolver esse problema por meio de um servidor DNS. Se você criar zonas DNS sem registros para os sites que deseja bloquear, isso fará com que elas não sejam resolvidas ou seja resolvida para uma página de sua escolha, se você inserir entradas nelas.
Se você estiver no controle total de todos os clientes, só precisará alterar o servidor DNS deles.
No entanto, certifique-se de configurar suas configurações de VPN corretamente para que não se estenda externamente para procurar o DNS. Você quer que ele pesquise na sub-rede local.