Я думаю что если параноить то по полной, точнее нужно обезопасить себя на всех участках соединения. Но и чтобы решение не слишком мудреное было и без глюков.
Предлагаю следующее:
на арендуемом сервере ставим mikrotik chr, или простой линух и port knocking там настраиваем по аналогии статьи про port knocking, далее пробрасываем там желательно нестандартный rdp порт на ip в вашем дата центре, а в сетевых настройках в дата центре указываем принимать соединения только с ip арендуемого сервера на выбранный нами порт и пробрасываем на наш RDP сервер.
конечная схема выглядит так:
Клиент из офиса стучится по port knocking на арендуемый сервер, ему открывается определенный порт для RDP, потом этот порт прокидывается на ваш сервер в дата центре, устанавливается соединение, клиент спокойно работает, а порт на арендуемом сервере закрывается (кроме установленных соединений).