Du brauchst folgendes Szenario:
In deinem LAN werden IP-Adressen aus einem bestimmten Bereich (Block1) verwendet. Dies könnten z.B. Adressen 192.168.2.x mit einer Netzmaske 255.255.255.0 sein. Vom LAN erfolgt der Zugriff auf das WAN (Internet) über ein Gateway in dem NAT stattfindet. Soweit ist das das Standard-Szenario, wie es die meisten DSL-Router implementieren.
Für das WLAN brauchst Du einen Accesspoint (AP), der VPN-Verbindungen verarbeiten kann. Das LAN-Interface des AP erhält eine Adresse aus dem Block1. Für die WLAN-Adressen wird jedoch ein anderer Adressbereich (Block2) verwendet: z.B. 192.168.100.x, Netzmaske 255.255.255.0. Mit diesen Adressen kann man nicht auf den Block1 zugreifen, aber mit dem AP kommunizieren und darüber das VPN aufbauen. Für das VPN werden dabei wieder Adressen aus Block1 verwendet, die der AP über sein LAN-Interface in das LAN weiterleiten kann.
Falls der AP die VPN-Verbindung nicht eigenständig handhaben kann, braucht man einen kleinen (alten) Rechner mit zwei Netzwerkkarten. Die eine Karte erhält eine IP-Adresse aus Block1 und ist an das LAN angeschlossen, die andere erhält eine Adresse aus Block2 und ist mit dem WLAN-AP (crossover-Kabel) verbunden. Die VPN-Software auf diesem Rechner baut dann das VPN zum Client auf und macht dabei eine Adressübersetzung (NAT) und leitet die Pakete weiter. Am einfachsten lässt sich sowas mit einem minimalen Linux realisieren (z.B. einer der vielen Firewall-Distributionen); evtl. gibt es geeignete Programme auch für Windows.
Vermutlich war die eigentliche Frage von server_boy, wie man das mit seinem Windows-Server macht; allerdings würde ich davon abraten. Denn wozu braucht er noch VPN und NAT, wenn schon ein Teil (das Netzwerk-Interface in Block2) seines zu schützenden LANs völlig ungeschützt aus dem WLAN erreichbar ist?
