Já que você está planejando a longo prazo para VPN, eu suponho que você gostaria que isso fosse barato?
Como um pensamento, você poderia usar IIS básico, usando SSL e só ponha a pasta de usuários na internet e permita navegação de diretório? O IIS verificaria as permissões e só permitiria o acesso aos arquivos com base nas permissões do arquivo AD que já estão lá (não ache mais configuração do que você faz agora) Já que você usa SSL com ele, é pelo menos seguro.
A grande desvantagem é o one-way apenas, para os alunos poderem ler / baixar os arquivos, mas quando eles mudam eles não podem colocá-los de volta na rede até que eles se conectem novamente.