Essa é uma situação em que eu me deparo com frequência, e praticamente sempre faço a mesma coisa: IPSec.
Se funciona para você, depende se há uma sobreposição de IPv4 entre a rede deles e a sua, o que você não diz. Mas eu sei que você tem idéia, e se houvesse esse obstáculo adicional, eu acho que você teria mencionado isso, então vamos supor, por enquanto, que não haja nenhuma sobreposição.
Configure um túnel IPSec entre o roteador principal e o seu, usando a autenticação PSK. A maioria dos roteadores bons fala e não é difícil de fazer. Uma vez que você tenha um túnel no lugar, você pode confiar na identidade de qualquer pacote que venha abaixo ( nota : eu não estou dizendo que você pode confiar no conteúdo dos pacotes, só que você pode ter certeza eles realmente vêm do parceiro potencialmente hostil).
Então você pode aplicar filtros de acesso ao tráfego saindo do túnel, e restringir precisamente quais hosts em sua rede eles têm a capacidade de acessar, e em quais portas, e de qual (is) máquinas (s) no seu final a última restrição é menos útil, já que você não tem controle sobre se os dispositivos em suas redes estão alterando maliciosamente os endereços IP para elevar seus direitos de acesso ao seu fim).
Vincular as redes, em vez de ter qualquer cliente confiável aleatório ao seu final usar um cliente VPN individual, funciona melhor na minha experiência, até porque você acabará com um trabalho em tempo integral gerenciando tokens de acesso do cliente - emitindo os novos, revogando os antigos, resmungando sobre as pessoas copiá-los ou lidando com as conseqüências da obrigatoriedade de que qualquer token só pode ser usado uma vez - ou você emitirá um token que todos usarão e você perderá o controle sobre quem usando e onde eles estão usando de . Isso também significa que a complexidade está no núcleo, onde é melhor gerenciado.
Eu tive alguns desses túneis, entre as minhas redes e os dos PHPs, rodando por uma década, e eles apenas fazem suas coisas. De tempos em tempos, alguém precisa de uma nova máquina capaz de acessar alguma nova caixa ou outro recurso do nosso lado, e é uma simples mudança para uma lista de acesso à interface, uma correção de uma linha para o meu próprio kit que eu posso fazer em segundos, e tudo está funcionando. Nenhum cliente instala. Nenhuma complicação no endpoint.
Eu acho a idéia da V6 fascinante, mas eu suspeito que ela irá correr sobre as rochas quando algum cliente somente v4, ou algo cheio de erros v6 porque é tão não testado, aparecer e realmente-realmente-muito-bonito- por favor, precisa de acesso aos recursos da sua rede.