Uma das opções é configurar uma VPN - uma rede virtual privada. Uma dessas soluções é OpenVPN .
Embora você não queira que os clientes instalem nada, você pode precisar de uma alternativa.
A alternativa pode ser DNAT . Sua configuração depende do sistema operacional instalado no seu servidor intermediário. Caso você queira que seus clientes se autentiquem de alguma forma, você pode considerar bater de porta .
EDITAR:
Como você disse que o seu servidor executa o artigo Configurando a tradução de endereços de rede (NAT) no Windows Server 2008 , o Windows pode ajudar.