Sim, ter uma VPN de túnel dividido de site para site é uma boa solução para isso. Geralmente, você executaria esse serviço no firewall de borda em cada site, se possível. Se você precisar executá-lo em uma máquina dedicada, ele se tornará um roteador / firewall, além de adicionar complexidade à sua rede e um ponto adicional de falha. É perfeitamente possível, mas pode ser uma boa ideia analisar a funcionalidade de site para site dos seus firewalls existentes.