Wenn die Anwendung nur wenig Traffic benötigt geht das.
Die IP aus dem Firmennetz bekommt er bei VPN immer (physikalische Verbindung). Mit der DFÜ-Option kann man sich dann direkt an der Domäne anmelden (logische Anmeldung, ist meistens nicht nötig). Wie du schon beschreibst, verhält sich der Client so als wenn er direkt am Switch hängen würde wenn der VPN-Endpunkt sich im Firmennetz befindet. Weil das natürlich ein gewisses Risiko ist, hat Johannes vorgeschlagen, die VPN Verbindung in einer RAS DMZ enden zu lassen (ausserhalb des Firmennetzwerks) und von da aus z.B. nur bestimmte Ports in das Firmennetzwerk freizuschalten. Konsequenterweise darf man dann aber auch keine Notebooks einfach ans Firmennetz anstöpseln, wenn sie von ausserhalb zurückkommen. Ich würde die erste Option nehmen (direkt ins Netz) und VPN mit Windows-Bordmitteln machen, allerdings sollten die Passwörter regelmässig geändert werden und einigermassen sicher sein, ausserdem sollte die Antivirussoftware auf den Clients die sich verbinden regelmässig gecheckt werden.
Grüße,
Frank