Что мы имеем:
1- Шлюз с pfsense с 2 lan сетями.
lan 1 - 192.168.0.1
lan 2 - 192.168.1.1
2- Сервер 2 с AD, DNS, 1С, принт сервер, общая шара, RDP
3- Сервер 3 - RDP, 1С, сервер печать
4- Сеть из 150+ сотрудников и удаленных юзеров, все они как и сервера находятся в lan 1.

Что нужно:
На сервере 2 есть 3 нужных папки для удаленных пользователей. Для них есть доступ по vpn через pptp в сеть lan 1.
А задача в том что бы они вообще не имели доступа к нашей сети но могли работать с 3 папками на сервере 2 и при этом что бы наша сеть имела доступ ко всем 3 папкам...

Rezor666, неспортивно, но первое, что приходит в голову: совместить Сервер 2 и VPN-сервер, запретив доступ клиентов к сети.

Вот и у меня почти теже мысли, только думаю дать им определённый диапазон, например 0.240-254 и закрыть им доступ ко всем протоколом и дать доступ только к шаре на сервере 2 но при этом закрыв остальные порты и включить логирование.

Хм, более не у кого не каких вариантов нету?

У меня сделано так:
LAN 192.168.0.0/24
VPN 192.168.2.0/27

И в настройках всех служб указано клиентов с какими адресами пускать в сеть и к общим папкам.

Tonny_Bennet,
Понимаешь в чем прикол, нам не надо что бы даже те кто сидит по vpn могли пользоваться всей сетью т.е нам нужно всего лишь 3 папки и что бы дальше никуда.
Т.е что бы пользователь даже не имел возможности сканить сеть например nmap.
Ftp, http файл сервер и прочее у меня отпало сразу же т.к пользователям этим надо редактировать эти документы в режиме онлайн и если кто то работает с документов то редактировать его было нельзя..

У меня VPN сервер организован на шлюзе и клиентам из VPN сети разрешено пользоваться всего несколькими сервисами: RDP, общие папки, печать на сетевые принтеры.

А пользователь работает с документами из RDP сеанса или с компьютера, который является клиентом VPN сервера? Т.е. вопрос ограничения прав в RDP сеансе или ограничения работы из VPN подсети.

А пользователь работает с документами из RDP сеанса или с компьютера, который является клиентом VPN сервера? »
Нет.
Только шара на сервере 2.
Ну думаю что самое логичное это закрыть все порты кроме шары.

для наглядности вот схема сети:
http://i044.radikal.ru/1206/39/192203d1daa5t.jpg (http://radikal.ru/F/i044.radikal.ru/1206/39/192203d1daa5.png.html)

Из плана сети не совсем понятно:

На каком сервере у вас настроен VPN-сервер?

Tonny_Bennet, на pfsense.
Если присмотритесь к pfsense то там написано pptp server

Ну значит выделяете для пользователей vpn определённую подсеть. И в настройках фаервола pfsense для VPN подсети разрешаете только подключение к серверу 2, а ещё лучше разрешаете только NetBIOS.