Можете настроить ещё один впн с одного на другой сервер. А потом ещё на один.
Получится что-то вроде Тора, но концептуально вы проблему не решите - выходная нода по определению видит всё, через неё проходящее. С другой стороны - если там везде шифрование а-ля HTTPS, кого это волнует?
Если не хочется возиться со скриптами, попробуйте BounCA - это простецкая вебморда, делающая ровно то, о чём вы спрашиваете. Если же хочется - как правильно сказали выше, easy-rsa.
На одном интерфейсе вполне может быть несколько адресов. Маршрутизируется это так же, как и всегда - добавлением маршрутов во все нужные сети. В чём сложность, собственно? Если надо через этот сервер форвардить трафик из локальных сетей в интернет - настраиваете NAT.
IPSec в качестве впна для коллектива, имхо, так себе идея. Расскажите критерии, по которым отсеялись более традиционные и гибкие варианты - опенвпн, вайргард, эниконнект?
