Здесь задача распадается на две части (ну, по крайней мере, я полностью одним заходом ее не решил)
Часть1 - в конторе ставится один большой микротик, который потащит на себе VPN. У него должен быть белый IP. Брать модель с аппаратным шифрованием типа RB1100AHx2 (если она уже устарела то брать то, что рекомендуют взамен)
- подключение к AD постоянно работающих мини-офисов. По микротику на офис и настроить постоянный VPN на IPSec - это даст постоянное подключение к сети офиса так, как если бы она находилась в соседней подсети.
- Линухи, планшеты на андроиде, продукция яббла - через IPSec в режиме roadwarrior. На сайте strongswan множество документации, микротик - это тоже линух и там стоит тоже либо шван либо более старый ракун, поэтому для настройки документация сгодится, ну и у микротика своя есть.
Часть 2
- винда - я пока не знаю, как ее цеплять на IPSec, но ее можно подключать на PPTP, пробросом на какой-нибудь виндовый сервер.