Я так понимаю что из дома он подключается по внешнему ип провайдера, с которого порты проброшены на роутере до терминального сервера.Если при подключении к терминальному серверу не поднимается впн, то один единственный выход - прописать правила на роутере где проброшены порты по диапазону адресов или по мак-адресам подключающихся. Для доменного сервера после того как трафик прошел с внешнего ип через роутер и проброшенный порт(а там, я так понимаю NAT) трафик уже считается трафиком локальной сети...скорее всего так.