CCR1009 есть опасность что задеприкейтят, в центр я бы поставил 1100 или 4011, если есть сервер то можно и CHR поставить, а по клиентам hex s или hap ac2.
И конечно максимально быстро отказался бы от OVPN. Данные девайсы имеют встроенную поддержку хардварного шифрования , стомегабитные туннели легко держат. Но наOVPN это конечно не распространяется. Если провайдеры не вставляют палок в колеса можно юзать L2TP, если вставляют то айписек