в форварде разреши 8080, 22, etc

серверов около 40 + у каждого юзера свое рабочее место, комп то есть в офисе...и нужно сделать так, чтобы каждый юзер мог коннектиться по РДП только к СВОЕМУ компу.. ну это утрируя

Сложно сказать, как лучше поступить
Для сотни юзерпов я бы накидал небольшой скрипт, который бы генерировал кучу правил исходя из конфига
Если юзеров десятки тысяч, то лучше, конечно, купить какой-то известный аппаратно-программный комплекс, которые такие штуки умеет делать стабильно и достаточно быстро. Конечно, это можно попробовать заменить на выделенную машину с быстрым процессором, но это придется долго готовить и тестировать

с генерацией правил не проблема. Просто тут сомнения, что потянет или нет

Никогда таких ограничений в айти-конторах не видел))
Может оно и не нужно вообще, пускай разработчики ходят куда захотят, если смогли зайти в впн?
НДА же они подписали, договор какой-нибудь тоже

ну. что может быть проще

и мне придется идти к Ибшникам с вазелином =))

leftsubnet=RDPhost/rightsubnet=VPNIP

вуаля. получаем host2host

А, ну раз есть ИБ, то и деньги на циску найдутся
Ну или как смайли выше подсказал, правда я о такой возможности айписека никогда не слышал))

VDI

я про стронгсван

кстати, случаем не знаешь, как-то можно ли выдавать leftsubnet через радиус?

да xотя бы тысяч за 70 длинк x-stack

не подходит к сожалению, из-за инфраструктуры. Это только здесь в офисе есть куда воткнуть оборудование. а как быть с ДЦ?

нуу..как вариант юнит-место арендовать...но..хз

снять юнит/стойку

мне кажется тут проблема глобальнее и она вообще в инфре

а тут надо запретить еще и порты