Kapánek zmatené. :-)
A co je na místě VPN serveru? Pokud třeba Windows server 2012+ a klient je windows 7+, tak můžeš použít funkci direct access, pak klientský počítač jde nastavit že pouze jen komunikuje s určeným serverem a nikdy nebude komunikovat přímo jinam, když je odnesen ven z firemní LAN, tak si vytváří automaticky VPN do firmy a nikam jinou komunikaci neposílá, než do tunelu.
Jiná varianta je ten klasický VPN klient, kde dovolím uživatlei ho pustit/zastavit dle potřeby s tím nastavením, že vše má posílat do VPN tunelu, v tomto případě to funguje i proti Linux serveru (direct acces funguje jen mezi windows klient a serverem). Jenom to chce, pokud to nemá uživatel snadno obechcat, že k tomu počítači nemá admin práva, aby to v nastavení VPN zrušil.
A další krok je, že klient si u sebe musí pustit nějakou aplikaci pro vzdálený přístup a vše dělá vzdáleně v centrále, takže data neopouští firmu, vyjma zobrazované informace na toho klienta pro vzdálený přístup. A firewall u VPN serveru nastaven tak, že tím VPN jde jen navázat spojení tím klientem pro vzdálenou plochu/aplikaci (pak už je jen otázka, co použiteš, zda RDP, Citrix, NX, ...).