najprościej openvpn po tcp
http://eko.one.pl/?p=openwrt-openvpn

jak ipsec to tylko nat traversal

prosty jest też vtun po tcp
http://openwrt.pl/doku.php/zastosowania:vtun

w obu przypadkach router za gsm jest inicjującym połączenie vpn

OK dzięki za podpowiedzi pewnie się jeszcze odezwę
Czy da się zrobić by po obu stronach była ta sama adresacja wew np. 192.168.1.X  dhcp mogę zrobić by się nie pokrywało ale czy przy routingu nie będzie problemu. Schemat miałby wyglądać tak :

192.168.1.1 --- (router1 IP) --- (((WAN))) --- (router2 GSM) --- 192.168.1.8
(192.168.1.2-7)            |                                    |                     (192.168.1.9-14)
                          ----------     tunel   na    VTUN------------
                             (83.12.2.3)        ----           (41.1.2.3)

Czy jak w serwerze conf dopisze na stałe adresy to zadziała tak ruting ?
route "add -net 192.168.1.8 netmask 255.255.255.0 gw 41.1.2.3";
route "add -net 192.168.1.9 netmask 255.255.255.0 gw 41.1.2.3"; 
itd lub
route "add -net 192.168.1.8/29 netmask 255.255.255.0 gw 41.1.2.3";

i jeszcze adres rutera-klient GSM:
ifconfig "%% 83.12.2.3 pointopoint 41.1.2.3 netmask 255.255.255.0 mtu 1450"

w tym przypadku 41.1.2.3 GSM będzie zmienne to co się wpisuje czy to nie ma znaczenia ?

serwer
iptables -A FORWARD -d 192.168.1.8/29 -j ACCEPT
a po stronie klienta dajemy :
iptables -A FORWARD -d 192.168.1.1/29 -j ACCEPT

OK sieci sprawdzę, przy takiej podsieci maska nie powinna być 255.255.255.128 ?

Jeszcze pytanie do routingu i połączenia ruterów. Jakie IP mam wpisać przy GSM ? Byle jakie żeby się zgadzało po obu stronach,  bo gsm i tak zestawia tunel.

OK tylko przy configu serwera i klienta mamy np:

serwer
ifconfig "%% 83.12.2.3 pointopoint 41.1.2.3 netmask 255.255.255.0 mtu 1450";  # tu ustawiamy adresy tunelu
klient
ifconfig "%% 41.1.2.3 pointopoint 83.12.2.3 netmask 255.255.255.0 mtu 1450";  # tu ustawiamy adresy tunelu

co mam wpisać zamiast 41.1.2.3 gdzie jest ono zmienne przy GSM, chyba ze nie ma to znaczenia byle się zgadzało czy nie ma to znaczenia dla routingu z 83.12.2.3 do GSM

OK na razie poćwiczę z Vtun, bo wg opisu powinno działać:

    Jeden router z IP zewnętrznym ( to na nim postawimy vtun-a w trybie serwer ) 
    Router z IP wewnętrznym lub zewnętrznym ( to na nim postawimy vtun-a w trybie klient)  czyli jako GSM
    Pakiet vtun-a