Você pode fazer muito pior do que usar OpenVPN em um caso como este; É muito simples de configurar (desde que você possa criar uma Autoridade de Certificação SSL, mas há muitos bons writeups sobre isso) e há suporte para muitos clientes - múltiplas plataformas e múltiplas implementações.
Você precisaria modificar todos esses sites internos para ouvir na interface de rede interna, em vez de apenas localhost, também.