dev0zxcb

ВПН на базе OpenVPN.
Чуть более геморойно в подготовке, но зато это полноценный ВПН со всеми плюшками, который неограничен одним RDP. Понимаю, что и в клиентский батник, предложенный Армянское Радио, можно добавить почти все что нужно, но это же надо каждого клиента обновить будет.
Сервер может быть как под виндой, так и под линуксом (и прочими никсами). Ключи то же можно нагенерировать скриптом, процесс чуть более сложный чем для ключей SSH, но они формируют полноценную PKI, при желании даже списки отзыва прикручиваются.
Клиентские конфиги можно делать одинаковыми. От клиента потребуется установить openvpn по дефолту, закинуть конфигурационный файл и ключи в нужные каталоги и запустить GUI (так же можно настроить и службу).

Мое решение (работеает уже давно). Работает на всем, что шевелится - Андроиды, Windows, Макинтоши.
SSH тоннель с ключами, защищенными пасскодами.

-ставим сервер с выходом в инет на белом IP
-отрубаем вход под рутом
-отрубаем шелл
-вешаем ssh на рандомный порт
-всем юзерам делаем персональные учетки, генерим ключи

На машине клиента (домашней):
нужен батник из одной строчки, программа plink.exe и закрытая часть ключа.

plink -P ПОРТ -l ЛОГИН -i КЛЮЧ_ЗАКРЫТЫЙ.PPH  -N -L 23389:МАШИНА_КЛИЕНТА_В_ОФИСЕ:3389 АДРЕС_ШЛЮЗА_В_ИНЕТЕ
pause

Клиент у себя врубает батник, вводит пасскод от ключа и подключается на адрес типа 127.0.0.1:23389, а SSH его уже туннелит куда надо.

Есть процедуры, позволяющие сгенерить ключи без визита сотрудников в офис.

VPN на стороне вашего интернет провайдера и RDP на рабочих компьютерах. Идеально если интернет дома от этого же провайдера. Скорее всего провайдер запросит разумных денег за аренду и настройку VPN, а возможно и "за так".