У меня похожая схема - Центральный Офис, в нем Cloud Core, в филиалах pfSensы. Все друг с другом дружат при помощи GRE-over-IPsec. Потенциально ещё и OSPF можно прикрутить, но пока и на статике все друг друга видят, схема стабильная.
Раньше был чистый IPsec, там сложности были с политиками, и филиалы только офис видели, а чтобы друг друга - пришлось бы жуткие монстро политики делать. IP-IP тоже хорошо, если OSPF не нужен будет.