A mio parere dipende sempre da che uso devi fare della vpn.
Se ti serve una "testa di ponte" dal cliente per accedere a varie macchine, allora la vpn è una scelta obbligata.
se l'infrastruttura prevede un firewall lascerei a quest'ultimo fare da endpoint per la vpn
se invece ti serve solo per accedere al server e/o altri server con ssh a bordo, allora ssh con key sulla macchina target (anche non SME) e da li lavori.
Eventualmente puoi anche usare il reverse tunnel di ssh per esportarti una sessione RDP di una macchina interna (ovviamente prima ti connetti in ssh con chiave, abiliti il reverse tunnel e solo dopo ti connetti in RDP)
Per i client, a meno di restrizioni particolari, anydesk
Altra alternativa senza toccare SME ma con l'obbligo comunque di avere una macchina ponte dal cliente (anche un nas o un router con openwrt) è Zerotier (
www.zerotier.com) che ti permette di avere una rete tua di dispositivi comunque geograficamente distribuiti