Você parece um pouco preso à replicação do DRBD. Eu acho que isso é porque não atende às suas necessidades. Ele replica os dispositivos de bloco e é bastante intensivo em largura de banda (embora a compactação de links possa aliviar bastante isso). Verifique se você não seria mais feliz com a replicação em um nível mais alto, como os mecanismos de replicação do MySQL para os bancos de dados e algo como lsyncd para os sistemas de arquivos.
Colagem junto com material do projeto linux-ha ou configuração de um mecanismo de failover semi-automático ou manual em conjunto com algum monitoramento é certamente um pouco de trabalho, mas deve dar o que você quer a longo prazo.
Claro, você ainda precisaria de um túnel criptografado para o tráfego, mas eu não entendo sua relutância em usar o OpenVPN - como o túnel está lá apenas por causa de um sistema de backup / espera e você teria uma testemunha (em uma configuração de HA com failover automático) ou um sistema de monitoramento (em uma configuração com monitoramento) que é independente da presença do túnel, você não teria nenhum failover nas interrupções do túnel e apenas obteria os alarmes para corrigir o túnel após a interrupção (o que é obviamente necessário, caso contrário, você perderá a capacidade de fazer um failover para um sistema em espera atualizado).