theitman Popíšu podrobněji, nicméně nyní aspoň něco - dělal jsem si měření propustnosti, tehdy a od té doby tu a tam, naposledy nedávno. Pokud pominu PPTP, které je z hlediska bezpečnosti už hodně dávno OUT snad kromě dočasných VPN typu "potřebuju se rychle dohrabat sem a něco nastavit", tak L2TP/IPSec mi vycházelo jednoduše nejlépe stran propustnosti. Oproti čistému IPSec je výhodou, že není problém, když "centrála" má tu veřejku přes NAT 1:1 a "pobočky" mají všechny do jedné jenom neveřejné IP adresy. Za svou dobu jsem se ale setkal i s tím, že při "správně" zmršené konfiguraci sítě kdekoliv mezi oběma konci se L2TP prostě nespojí, tímhle problémem v mém nasazení nikdy netrpěla OpenVPN, u které je ale zase problém nižší propustnost (jen heslovitě: pouze TCP transport v RouterOS verze < 7), i když zase ne o tolik jako SSTP, které bylo až do relativně nedávné doby výkonem použitelné opravdu jen jako servisní přístup pro správce. Kombinace L2TP/IPSec po hlavní a OpenVPN po záložní lince se metodou pokus omyl ukázala jako nejvýhodnější v poměru bezpečnost/výkon/spolehlivost. Aspoň něco z toho prostě proleze vlastně vždy (takže lepší spolehlivost na nekvalitních linkách než 2x OpenVPN nebo 2x L2TP/IPSec) a není to tak komplikované na naučení někoho dalšího do postupu "sem klikni když to nejede" jako kdybych tam měl mít oboje dvakrát.
Co se znovunavázání VPN týče, v základu se RouterOS snaží mít všechna povolená rozhraní up, takže se prostě snaží spojit furt dokola, dokud se to nepovede. Takže tohle jsem vlastně nemusel řešit vůbec, a to takových firemních sítí běží podle vlastně totožného návrhu několik.
DjM BGP = Border Gateway Protocol je určený na něco trochu jiného než routování LANek přes site-to-site VPN. OSPF bylo a stále je pro tento use-case "přirozenější" když to tak nazvu a na rozdíl od RIP nebo EIGRP to podporují i některé non-MikroTik krabičky, které jsem do toho zapojil.