Lembre-se de que seu servidor da Web regular está enviando apenas o navegador da Web do cliente uma URL para o site interno. Isso significa que minha máquina acessa sua página da web e obtém uma página e um iframe com um URL que, por definição, não pode acessar sua página da web interna.
Supondo que o servidor da Web tenha acesso ao site interno, a maneira mais fácil de fazer isso é ter um script no servidor da Web que busca a página de solicitações do site interno e algumas informações sobre como distribuí-lo com segurança para usuários autenticados. Esse script também terá que receber solicitações de um cliente da Web autenticado e passá-las para o site interno. Isso soa muito complicado, não testado e limitado, e parece ser a maneira mais fácil de fazer exatamente o que você quer.
Se você puder alterar seu objetivo exato um pouco ...
Provavelmente, é mais fácil e mais seguro configurar uma VPN e permitir que os usuários se conectem à rede interna ou, pelo menos, apenas ao servidor da Web interno. Existem clientes VPN que podem ser instalados em clientes com antecedência ou através de complementos de navegadores da web (activex, xpi, etc ...), e podem tornar a instalação totalmente sem problemas. Esta opção provavelmente envolverá aquisição de equipamentos e / ou software, mas as VPNs são seguras, fáceis e confiáveis.
Outra alternativa é revisar o site interno e perguntar por que ele é interno? Você pode simplesmente torná-lo externo? O código pode ser auditado para segurança e depois postado externamente? Talvez os dados estivessem seguros o suficiente por trás de um login na web e SSL criptografado. Esta opção pode ser muito fácil ou moderadamente difícil, dependendo do site interno. Essa opção também não envolve nenhum software na máquina do cliente.