придется за каждого пользователя предприятия хлопотать и выкладывать ссылку для загрузки и установки, как-то не совсем удобно получается.

Хлопотать вам в любом случае придется. Сомнительно, что типовая МарьИванна сможет сама
создать подключение к VPN в Виндах. А тогда разница небольшая, что создавать соединение,
что поставить клиента. А обновляется он, как уже сказали, автоматически с роутера.

нет сплит туннеля

Делайте как хотите, но как говорилось выше, более управляемый и масштабируемый впн это Эниконнект.

самый большие минусы встроенного в винду клиента - нет провижинга, зависимость от версии билда винды он просто не всегда работает с цицкой, нет сплит туннеля, нет таких вещей как DTLS и т.д.

Железка для этих целей выделенная, к сожалению допотопная, первый айэсэр,3825

По этому поводу есть нюанс. В ISR встроенный крипто-ускоритель не умеет в SSL (в 2800 точно, думаю что и в 3800 тоже).
Т.е. чистый IPSec он считает, а вот SSL никак, только софтверно. Соединение проходит, ping, telnet - все Ок,
но вот только вы пытаетесь качнуть какой-нибудь приличный файл - CPU 99% и коннект отваливается.
Так что пришлось брать AIM-VPN/SSL-2, на EBay стоит копейки.
С ним все Ок, не 150 Mbit, как на ISR 1100, конечно, но коннект не отваливается и работать можно.

Полезный нюанс, спасибо что отметили. К сожалению на 3800, которую использую в качестве HUB, сейчас стоит AIM-VPN/EPII-PLUS, насколько понимаю без поддержки SSL.
Посмотрел на одном из Spoke установлен AIM VPN SSL 2, но это на 2800 серии, на 3800 уже нужна плата AIM VPN SSL 3. На ebay сейчас вижу минимальный ценник 2т. с лишним рублей с доставкой из Китая, на авито меньше 5т. не увидел. Неспешно закажу наверное, не знаю, хотя в планах конечно сменить платформу уже, слишком устарела ISR1, 3825 все же для наших дней. Но, за 2т. наверное можно взять пока.

Была у меня в одном месте 3825 + ssl 3 хабом споков эдак на 50 в своё время - тяжело ей было. Не лохматьте бабушку. Закопайте стюардессу.

50 это внушительно.! У меня сейчас на ней и 5-ти споков-то нет , надеюсь плавно перелезть на 4300-ю, по мере роста, финансового в первую очередь, но честно говоря теперь задумался, после ваших цифр. 3825 просто монстр оказывается, если с таким количеством филиалов хоть как-то справлялся, я вряд ли так смогу нагрузить её.

только не забудьте hsec с perf взять

на 4300 серию? Ну, как только, так сразу

ну если вам нужна скорость шифрования 75 мбит и скорость платформы 100 мбит то можно и без этого, ну или Вы каким другим способом это обходите?

4331 в МСК новая стоит 60т руб. бу можно найти в два раза дешевле только нужно чтобы повезло, но найти можно - весь ПАК лицензий для 4331 стоит не более 150 евро.....

цены на канал упали; за последний год несколько объектов перевелись во-первых на безлимит., (были лимитированные по трафику тарифы, позорные 10-15 гб. в месяц,), пукнуть лишний раз страшно было, перерасход по диким ценам), сейчас 50 мегабитные, синхронные каналы как минимум.
Прожорливое всё стало, на видеонаблюдение уходит по 2 мегабит на камеру, некоторые требуют хорошего качества изображение, ставят по 4 мегапуксельных айпи камеры, удаленно зумят, наблюдают за персоналом. Опять же товароучетные системы по туннелям гоняют, 1с сама по-себе нарекания вызывает, плохо настраивают, небрежно, потом валят всё либо на 1с, либо на плохой интернет. Поэтому, 50 мегабит уже не роскошь на мой взгляд.
Соответственно на роутере такой потенциал тоже будет востребован, не везде конечно, где-то избыточно будет, смысла нет, простаивать будет, но местами будет в самый раз. Просто вопрос цены само собой, не все готовы отвалить 80 т. за 4300-серию,

у нас просто zbf, межсегментного трафика минимум 200-300 мбит, тоже видео

Это внутри между VLAN-ами, или вы между сайтами через паблик (через VPN) столько гоняете?
И какой же канал в Инет тогда?