2. В целом по-барабану в данном случае. Вопрос только в умениях настроить. Но, предполагаю, OpenVPN будет проще настроить (главное чтобы он был через UDP, а не через TCP). Хотя для него надо будет ставить на клиентские компы софт. И есть более правильный вариант в виде ike2 туннеля. На вдс ставите strangswan|charon. На клиентских виндовых тачках ( win10 если) есть нативная поддержка ike2 туннелей (тунель по сути можно создавать заготовленым PS-скриптом в одно касание).
4. Если на клиентских машинах вы будете заворачивать асболютно весь трафик (ну кроме того, что до внешнего айпишника вашего вдс сервера) через туннель, то да, весь трафик будет идти через вдс, там NAT-иться и уходить в дикий инет. Но если по какой-либо причине туннель упал, а инет продолжает работать, то сотрудник, не зная об этом, подписывает благополучно со своего провадерского адреса. Короче, над схемой еще работать надо.
И тут более правильным будет строить site-to-site туннели на роутерах офисов, а не на АРМ сотрудников.
Так же, вся схема может превратиться в тыкву, если фнс станет следить не только за айпишником, а еще за каким-нибудь параметром эцп.
Еще вариант - завести терминальный сервер, завести там юзеров, которые работают с эцп и всё. Это я бы сказал, самый правильный и простой вариант.
Но геморра бизнесу подкинули в очередной раз. То маркировка, теперь эти мчд.
Кстати, закон про мчд перенесли на 31 августа 2023.