Networking de um pequeno escritório com VPN

Recentemente eu comprei um roteador CISCO RV042 Small Business com capacidade de VPN, obviamente para permitir conexão externa a este escritório via VPN para acessar um NAS onde os arquivos de negócios são armazenados.

Eu não sou realmente um profissional de TI, mas tenho fundamentos de rede acima da média e estou tendo dificuldades com a equipe de TI.

Configurar a VPN teria sido bastante fácil, no entanto, as coisas são complicadas pelo fato de que existem 2 ISPs, que estávamos usando. A rede atual consistia de 3 roteadores - um para cada ISP e um com WAN dupla que criava um WIFI combinado para conectar. Os dois primeiros roteadores foram conectados ao terceiro, todo o escritório foi conectado à frente do terceiro - assim, a rede era à prova de falhas, até a falha de um ISP.

A opinião do Office é que essa coisa dupla de ISP precisa continuar mesmo com VPN. Temos IP estático em um dos ISPs.

Agora existem 4 roteadores - 3 anteriores e o novo.

Os caras de TI enfrentaram um problema ao configurar a VPN citando problemas com a atribuição de IP - eles sugeriram que as duas redes fossem independentes. No entanto, isso não é fácil de usar com conexões LAN com fio, ao contrário de wifi.

Então, finalmente, a questão é -----

With these 4 routers -- 
R1 - ISP1 - single WAN Wifi
R2 - ISP2 - single WAN Wifi
R3 - double WAN - extend Wifi
R4 - CISCO RV042 Double WAN loadbalancing with VPN

Como uma rede VPN WAN dupla pode ser criada? Estou anexando um instantâneo de um diagrama de bloco que eu criei .. Outras visualizações bem-vindo.

@trpt4him-Oprovedordeacessoduploeraparagarantiromecanismodefailoveremumarededetrabalho,nãotrabalhandoVPN.Eumeioqueentendioseuponto.Opróximocaminho"in" seria definido, uma vez que ele viria através do ISP ip estático. Ao sair, o roteador WAN duplo pode escolher qualquer uma das linhas enquanto envia os dados de volta, pois isso faria o balanceamento de carga? Ou, como o tráfego da VPN opera em uma porta exclusiva, eu poderia fechar essa porta do roteador não-VPN. A ideia é que não há necessidade de VPN ser à prova de falhas. VPN pode ser via apenas uma linha. Apenas a internet geral para pessoas que trabalham dentro deste escritório precisa ser à prova de falhas. Portanto, quando a linha VPN estiver inativa, as pessoas externas não conseguirão se conectar a esse escritório. Mas as pessoas do escritório interno ainda teriam internet através da outra linha de trabalho. Isso faz sentido?