[ml] accesso vpn/usb

ho una piccola webfarm dove in una piccola lan, dietro ad un firewall,
ci sono alcuni server. attualmente ogni server espone, oltre alle porte
necessarie ai servizi che fornisce, anche ssh, che dal firewall viene
ruotato su porte differenti sullo stesso ip. in pratica sul mio ip
pubblico ho la porta 2000 che è ssh del firewall, la 2001 che è quella
del webserver, la porta 2002 è il mailserver, ecc.
volendo evitare di esporre tutti questi ssh e anche di dover per forza
andare in ssh sul firewall per poi saltare sulle altre macchine stavo
pensando ad una soluzione con openvpn.
essendo che tutti quelli che devono accedere ai server possiedono un
loro portatile la mia idea è di dotarli di chiavetta usb con sopra la
chiave per poter far partire la vpn e di lasciare il firewall in
ascolto. quando una vpn sale il laptop entra direttamente nella lan e a
quel punto va in ssh dove gli piace (ovviamente con password).
sono però dubbioso su un paio di punti e vorrei dei pareri:

- è più sicuro avere un server openvpn in ascolto o cinque porte con ssh
sopra?

- una volta entrati nella lan i laptop potrebbero diventare punti di
accesso, perchè sulla loro sicurezza non ho garanzie (o meglio, le ho,
ma limitate dal fatto che se uno non sa trovarsi un rootkit...), vorrei
impedire questo ma non mi vengono idee

alla luce di questi due dubbi sto pensando che la mia idea sia una
minchiata e quindi di optare per quello che mi sembra più sicuro, ovvero
ssh sul firewall e poi da lì ssh sulle macchine, tuttavia rimango sempre
un po' innervosito dall'avere un ssh aperto sulla macchina che fa da
firewall.

ditemi cosa pensate :)

byez