Problème résolu avec du matos linksys wrt3200acm, le matos est surfait pour l'usage mais le processeur ne rame pas avec le décryptage des VPN.
Flashage d'openwrt en lieu et place du firmware officiel.
Installation openvpn client et configuration de deux comptes VPN.
Un premier VPN qui sera utilisé dés le démarrage du routeur et attribué au wifi ainsi qu'aux ports ethernet (pas possible aux petits malins d'utiliser leur propres matos derrière le routeur mis à disposition
).
Utilisation du second accès VPN en cas de configuration à distance du trigu et switch des VPN via SSH en cas de besoin.
Pour la sécurité aucun port n'est ouvert sur le routeur et l'accès SSH se fait via un tunnel reverse généré à partir du wrt3200acm sur un serveur at home.
Au cas ou le VPN tombe, plus d'accès internet et pas de leak d'ip possible car le firewall est configuré pour juste autoriser le LAN vers VPN , les accès wan on été supprimés, l'ipv6 à été banni.
Un script qui ping en permanence une ip et qui relance le VPN est configuré et n'a plus qu'à attendre la décoche dans crontab pour fonctionner toutes les 5 minutes en cas de besoin.
Si utilisation de p2p le VPN coupe internet pour X minutes, ils n'ont qu'à se tenir à carreau.