Мысль 1: с OpenVPN все ок. Я сам сижу на удаленном компе в 1920x1080x16бит, дискомфорта не ощущаю, иногда наглею до 32 бит. Все ок.
Мысль 2:
У меня на удаленке через OpenVPN+RDP сидит всего более 50 человек, одновременно подключены 20-30. На разрешениях от 1366x768 до FullHD (они включают полный экран, поэтому все зависит от того, какой у них ноут или монитор). Дискомфорт только у тех, кто сидит через откровенно отвратный интернет и только на некоторых приложениях (Adobe Reader, например, когда присылают сканированные PDF).
Настраивали все всё сами по розданным инструкциям + файл конфига. Даже разные обычные офисные работники, обычные секретарши и преподы-гуманитарии. Главное инструкцию написать и послать людям все нужные файлы. Файл конфига посылается в почту в зашифрованном архиве. Пароль на архив отправляется на телефон смской.
Мысль 2б:
Если бы у людей не было кучи хлама на дисках D: я бы всех посадил на терминальный сервер. Тем более, что он есть с нужным количеством лицензий. У всех пермещаемые профили и домашние папки на сервере замэплены на X: . Но народ не учится, даже на примере одной несчастной, у которой шифровальщик унес в небытие 10 гигов хлама на D: за 10 лет работы. Да, у меня работает KES с центральным управлением, но это был zero-day и опилки в голове у юзера, несмотря на регулярный инструктаж.
Мысль 3:
Так как юзеры сидят с домашних компов, где они боги и цари (в отличие от офисов, где у них все порезано), то теоретически возможна атака на всю сеть с любого удаленного компа. Поэтому схема VPN+RDP не слишком кузявая. В-общем, сплю я неспокойно.
Мысль 3б:
Чтобы затянуть гайки следующим этапом для каждого vpn-юзера на openvpn-сервере делается файл в папке staticclients (там для каждого и так есть файл, как контроль, кто может подключаться, а кто нет), куда прописывается заданный адрес. А в правилах фаейрволла прописывается, что доступ с определенного vpn адреса разрешен только на определенный IP внутри сети (на комп пользователя).
И дополнительно на всех компьютерах удаленшиков включаем SRP.
Мысль 3в:
(пока думаем и взвешиваем) Следующим этапом раздаем всем удаленщикам пакет для установки на домашний комп KES+агент. Хотя бы некоторый контроль на их компами.