Você sempre verá uma lentidão usando o tunelamento - embora eu deva admitir que isso é muito pior do que eu esperava. Fatores que contribuem para a diferença entre a desaceleração esperada (~ 10%) podem ser devidos à divisão de pacotes (você já tentou ajustar o MTU?) E à manipulação restrita de janela de congestionamento.
Uma solução baseada em IPSEC deve fornecer velocidades de linha aproximadas - embora (IME) possa ser bastante complicado fazer com que esta seja executada em NAT / com diferentes implementações de terminal.
HTH