mastertigr

Вам как таковой VPN здесь вероятно не нужен. Достаточно сделать файрвол и закрыть для подключения извне порты для любых IP, кроме офисного (надеюсь, что он "белый" и постоянный).
Любой VPN - это достаточно высокая нагрузка на шифрование и соответственно если много клиентов - нужно серьезное оборудование.
Дополнительной мерой безопасности может стать двухфакторная авторизация на терминале. Например бесплатный MultiOTP.

Если вы специалист по Windows Server, и понимаете как работает WFW и что нужно делать для защиты в WS - то развертывание VPN на самом Windows Servers - довольно хорошая идея для того, чтобы обезопасить его даже в случае его прямого подключения к Интернет.
Желательно использовать для VPN стороннее ПО, а не доступные в роли RAS.

Тут либо на стороне офиса поднимать vpn-сервер (а он так или иначе нужен для удалённой работы хотя бы системного администратора) и к нему подключаться со стороны терминального сервера.
Ну или наверно извращённый вариант: на терминале запускать hyper-v и в нём запускайте routeros