chifth

Как уже советовали выше - Blind Scanner.
На ПК с сканером ставите Server-часть (можно и как службу отметить), тогда даже логиниться не надо.
На всех остальных ПК ставите Client-часть. В настройках указываете сетевое имя ПК или IP.
Ниже будет поле выбора сканера. Ну и ещё пара настроек.

Сервер активации не требует. Клиент - требует.

Юзаем в офисе. Очень простое и лёгкое решение.

Как строить сеть - это конечно ваш выбор, но сейчас у вас очень опасный сетап.

Конкретно по вопросу:
Я так понял что вам надо чтобы был доступ Всем из локалки, и Некоторым из интернета (при том чтобы из локалки они могли зайти).
Штатно средствами RDP такое не сделать, там нет никаких настроек касательно доступа из конкретного места.
Зато такое есть в Remote Desktop Gateway. То есть это такой себе сервер, который должен стоять на границе интернета и локалки, и пускать в локалку по логину/паролю юзера. Вот тут вы и сможете выбрать конкретную группу юзеров, которым разрешена авторизация. Остальные не смогут авторизоваться, а значит и в локалку к RDP серверу не попадут извне.

Прошить OpenWRT на этот туполинк и будет норм :)
Там вам и консоль, и iptables, и логи