Во первых - нас тройте фаерволл, ограничте доступ по SSH по IP адресам для начала.
По возможности фаерволлом закройте вообще всё, потом разрешите необходимые порты\протоколы. (себя ток не заблочьте)))
OVPN со своими сертификатами по порту 443 ИЗ китая в европу. По идее должно сработать. Ну и для паранои - передавать сертификат клиента на сервер китая в каком нить запароленом архиве по ssh )))