Usamos o OpenVPN para nossos trabalhadores "home" e "field". Existem clientes disponíveis para Windows, Linux e Mac OS X (chamado tunnelblik). Nós rodamos nosso servidor de acesso fora de uma caixa Fedora, mas de acordo com o website do openvpn, também há servidores de acesso disponíveis como dispositivos virtuais ou para VHD. No entanto, isso exigirá um servidor conectado diretamente à Internet ou algum encaminhamento de porta do firewall para o servidor de acesso. De sua descrição acima, parece que o encaminhamento de porta é o caminho a percorrer para você.
Usamos isso com certificados auto-assinados (ou seja, certificados que criamos para cada usuário) e funciona como um encanto. Nosso servidor de acesso está configurado para rodar na porta 443, o que torna mais fácil para os trabalhadores de "campo" se conectarem a partir de hotéis (que geralmente têm strongs restrições sobre quais portas são permitidas).
Com clientes Windows, o cliente OpenVPN pode ser configurado para inicializar antes do início do prompt de login do Windows, o que significa que, no ponto de logon, você já tem uma conexão com sua LAN e a autenticação no AD é simples: o usuário escolhe qual domínio deseja fazer logon (domínio local ou domínio do AD). Como alternativa, se o cliente NÃO estiver configurado para iniciar automaticamente, os usuários ainda poderão fazer logon com suas credenciais de domínio, se o computador estiver registrado, porque o Windows armazenará em cache suas credenciais por um determinado período. No entanto, se nenhuma conexão for feita antes do cache expirar, seu trabalho no domicílio pode ficar um pouco confuso, especialmente se ele não tiver credenciais para nenhuma conta local na máquina.