Pokud nejsou vysoké nároky na průchodnost, tak OpenVPN. Minimum nervů "proč to nejede, proč tahle konfigurace nefunguje". Flame war OpenVPN vs. IPSec jsem už párkrát absolvoval, argumenty pro IPSec znám.
Zdejší debata mě poňoukla, abych otestoval průchodnost mezi dvěma lokalitami. Bohužel je na jedné z nich ohavný rate-limit na 10 Mbps (symetrický) takže jsem nezměřil, kolik by to dalo samospádem. Takhle jsem pomocí FTP změřil 8 Mbps a oba routery se flákaly (quad-core BayTrail Celeron J1900 měl jedno jádro vytížené asi na 10%). Pravda je, že slýchám stesky, že OpenVPN ani to jedno jádro nevystropuje, že má bottleneck někde jinde...
OpenVPN je zřejmě jednovláknová. Pokud by byl zájem na centrále rozložit zátěž na víc jader, dá se ručně spustit dvě a více instancí a satelitní "klienty" mezi ně ručně rozhodit. Konfigurace a spouštění démona pak dá trochu práce navíc. Ale pokud byste začal kopírovat data proti centrálnímu storagi ve více streamech, možná by to zase zůstalo viset na random IOPS točivých disků.
Já třeba míval dvě instance OpenVPN kvůli redundantním uplinkům. A nad tím Quagga jela dynamický routing... Hezké to bylo, ale teď na optice u slušného ISP už redundanci nepotřebuju.