Encontrei a solução usando um balanceador de carga interno da AWS em vez de um balanceador de carga "voltado para a Internet" da AWS. Em seguida, um CNAME apontando para o balanceador de carga resolverá um IP interno, a sub-rede desse IP deve ser enviada como uma rota no arquivo de configuração do OpenVPN.