Если не хочется возиться со скриптами, попробуйте BounCA - это простецкая вебморда, делающая ровно то, о чём вы спрашиваете. Если же хочется - как правильно сказали выше, easy-rsa.
На одном интерфейсе вполне может быть несколько адресов. Маршрутизируется это так же, как и всегда - добавлением маршрутов во все нужные сети. В чём сложность, собственно? Если надо через этот сервер форвардить трафик из локальных сетей в интернет - настраиваете NAT.
IPSec в качестве впна для коллектива, имхо, так себе идея. Расскажите критерии, по которым отсеялись более традиционные и гибкие варианты - опенвпн, вайргард, эниконнект?
Думаю, стоит сделать эти триггеры зависимыми от какого-то общего, типа "Устройство недавно было перезагружено" или "Устройство недоступно". Тогда в моменты ребутов триггеры линков активироваться не будут.
