CityCat4

Любое. Но если планируется много клиентов, лучше сразу предусмотреть некую систему обозначений какого-то деления, чтобы потом проще было ориентироваться.

А, простите, клиент на винде какой? Чтобы подключиться с винды, нужно преизрядно побиться головой об монитор... В логе видно, что просто ничего не произошло. Шван получил запрос на порт 500, послал ответ, в ответ не получил ничего и спокойно заснул дальше.

Вот в качестве примера конфиг, проверенный на Win7, на клиентах ShrewSoft и TheGreenBow

conn any-deltahwCA-rsa-sleepycat
        auto=add
        left=1.2.3.4
        leftid="<здесь subject сертификата сервера>"
        leftauth=pubkey
        leftcert=servercert.crt
        leftsubnet=10.1.1.0/24
        leftca="<здесь subject СA, выдавшего сертификат серверу>"
        leftfirewall=yes
        leftdns=10.1.1.1,10.1.1.4
        right=%any
        rightallowany=yes
        rightsourceip=10.1.1.28-10.1.1.30
        rightid="<здесь subject сертификата винды>"
        rightcert=windacert.crt
        rightauth=pubkey
        rightca="<здесь subject CA выдавшего сертификат винде>"
        keyexchange=ikev1
        ike=aes128-sha-modp1024,aes192-sha-modp1024,aes256-sha-modp1024!
        esp=aes128-sha-modp1024,aes192-sha-modp1024,aes256-sha-modp1024
        ikelifetime=2h
        lifetime=1h

Чтобы работала авторизация по сертификатам нужно сначала выдать (или получить) сертификат на сервер, на клиент, их соответственно поставить всюду, на сервер положить сертификат клиента. Данный пример рассчитан на прием соединения откуда угодно с динамическим назначением IP из указанного диапазона

Телепаты в отпуске :) Бессрочном. Что за VPN, каким образом подключение, что происходит... Правильный вопрос - половина ответа.
Вывод ifconfig будет не лишним.

Поднять VPN на шлюзе, где нет винды. RDP на винду - это вектор атаки.

TP-Link - "экономичное" железо, оно рассчитано на неприятазтельных пользователей, не знающих что такое "сертификат". Соответственно, роутер просто не поддерживает аутентификацию по сертификатам. И все. Для использования сертификата нужен другой роутер.

Микротик однозначно. SNMP есть. Мониторинг есть. Файрволл - линуховый iptables, слегка расширенный, можно использовать все линуховые схемы для прохождения пакетов. Правда, без знания как пакеты идут через iptables все равно микротиковский файрволл освоить будет трудновато.

Что же до pfSense, то хрен редьки не слаще - он основан на FreeBSD и pf. Человек, не рубящий в линухе, вряд ли справится с FreeBSD :-)

Наиболее простое решение предлагает АртемЪ. Я за данное решение.
Почему все остальное - ерунда? Потому что инициация соединения будет делаться из дома. Если VPN нужен для того, чтобы с работы заходить домой, когда надо (а надо может быть постоянно, например у меня на работе постоянно висит RDP до домашнего сервака), то что произойдет, когда роутер дома рестартанет?. А произойдет невозможность перезапустить VPN, не вернувшись домой. Что произойдет, когда будет белый IP? Просто зашел на веб-морду или по ssh - и сделал что надо.