ИМХО лучше поднять еще один, чтобы в случае чего не компрометировать основной туннель в случае утечки сертификатов.
Генерируешь сертификат CA, генерируешь сертификат сервера, генерируешь сертификат для клиентов.
Прописать маскарадинг для интерфейса со вторым сервером и пушить маршруты до внутренних сетей. Тебе же не надо две сети связывать, а только клиентов удалённых пускать.
Подключаться им можно хоть с мобильного, лишь бы провайдер VPN не блокировал.
