Eu já vi empresas fazerem isso antes. A Barracuda Networks usa um "Support Tunnel" que é construído em sua UI que basicamente cria um túnel SSH reverso. Se você preferir algo um pouco mais autônomo, então o Google "persistente ssh tunnel". Existem muitos scripts de shell por aí.
Lembre-se de que, se as portas SSH reversas do servidor de suporte estiverem acessíveis na Internet, você estará expondo seus clientes / usuários a uma vulnerabilidade de segurança à qual eles talvez não tenham se "inscrito". Eu também faria do gerenciamento de chaves privadas uma prioridade alta. Se você usar os mesmos PKs para todos os dispositivos e essa chave privada for comprometida, todos estarão comprometidos.
Eu pessoalmente usei o OpenVPN como um túnel de suporte (autenticação de certificado). O serviço já é persistente (out-of-the-box) e é muito fácil de configurar. Novamente, o gerenciamento de chaves é sempre uma alta prioridade. Todos recebem um certificado diferente. Eu sempre posso revogar o certificado se as coisas correrem mal. Eu também isolo meus clientes, para que eles não possam ver / falar um com o outro.
Boa sorte!