А вот pfsense как раз решит все Ваши задачи. VPN умеет разный, кроме L2TP/IPSec. Фильтрации трафика -легко, это же FreeBSD, шейпер «из коробки». Группы создаете или в AD или прям так перечислением диапазонов адресов, адресов, логинов. Контроль времени также есть. Все просто и удобно.
Надо было запретить не всем, а только части. Некоторые, типа отдела кадров и маркетинга, ходили туда, чтобы группы вести и прочее. Прокси дарует аутентификацию, по ней и отсеиваем юзеров. Я может не очень Вас понял, какое решение Вы предлагаете?
Нет, такой задачи не было. По возможности стараюсь не связываться с PPTP, но если с той стороны только он и без удаленки никак, то это печальная история.
Про данную связку слышал и при написании статьи думал о ней, но я старался использовать доступные пакеты «из коробки», а там возможности подобную связочку собрать я не нашел.
Ну и OWASP можно напечатать и переплести — получится классный дуэт с «The Web Application Hacker's Handbook».