На выходе получаем мощное и недорогое решение.
А вот это интересный вариант.
tplink wr840n v5 выдает за символическую плату выдает мой провайдер.

Не-не, только хард вэй, только МТ  ;D А то еще перекочуете в мой лагерь, а он не резиновый.

Подчеркну еще раз в моих условиях,  приобрести МТ нет проблем.

Эх, всем бы так  ::)

P.s. Спасибо за ликбез по МТ.

P.p.s. Коллеги, радостная новость! Спасибо за труд ребятам с форума 4PDA за то, что теперь можно устанавливать супер-прошивку от Padavan (openvpn клиент-сервер, гостевые сети, аппаратный AES и многое другое) на:

tplink archer c2 v1
tplink archer c20 v1
tplink archer c20 v4
tplink wr840n v4
tplink wr840n v5
tplink wr840n v5 RU
tplink wr841n v13
tplink mr3020 v3
tplink mr3420 v5
Прошиваются без проблем из под openwrt. Для v5 вроде можно сразу прошиваться через стоковый вебинтерфейс.

https://4pda.ru/forum/index.php?s=&showtopic=786959&view=findpost&p=72366807

Также на tplink wr840n v4-v5 можно легко допаять USB (для модема, напр. )
https://4pda.ru/forum/index.php?s=&showtopic=786959&view=findpost&p=72444300

На выходе получаем мощное и недорогое решение.

Напоследок - буквально пара комментариев.

Супер. Т.е. держать запас МТ, к-ые заметно дороже - эт можно?

Конечно, же это нецелесообразно и запасов никто не держит. Подчеркну еще раз в моих условиях,  приобрести МТ нет проблем.

Кстати, а в курсе ,что конфиг с одного МТ на такой же без эээ нек-ой пляски залить нельзя ? Почему? Потому как конфиг привязан именно к этой железке.

К конкретной железке привязан бинарный бэкап. Для переноса служит текстовый экспорт конфигурации, в котором перед импортом в новое устройство правится, при необходимости, пара строк. Можно экспортировать-импортровать любые отдельные секции настроек.

Повторю еще раз - ответ ТС я начал не с насоветуют МТ, Юби, Циски и иже с ними а с вариантов, обычно рекомендуемых вами, не сомневаясь, что от вас последует пост с исчерпывающей информацией. И лишь затем продолжил список. 
Иногда кажется что вы посты читаете эээ… выборочно или не читаете вовсе.

А вот в зависимость от наличия устройства определенной версии и подходящей к нему прошивки попадать не хочу.
Держать их складской запас - тоже.

ИМХО:

В чем проблема слить конфиг с перешитого роутера и залить в такой по чипсету (не по модели) ? Особенно это касается openwrt и tp-link-ов, коих даже на периферии как грязи.
Ситуация же с МТ - намного плачевнее в каком-нибудь Зареченске Иркутской губернии. Ждать доставку МТ можно и неделю и месяц.

Держать их складской запас - тоже.

Супер. Т.е. держать запас МТ, к-ые заметно дороже - эт можно? Кстати, а в курсе ,что конфиг с одного МТ на такой же без эээ нек-ой пляски залить нельзя ? Почему? Потому как конфиг привязан именно к этой железке.

Ситуации вроде срочной замены\открытия новой площадки делают такой подход для меня неприемлемым.

Если это касается роутеров - их просто валом на авито. И купить 2-3-5 шт по бросовым ценам - это дешевле ,чем купить один МТ.

Сравним же :
https://www.avito.ru/rossiya/tovary_dlya_kompyutera/setevoe_oborudovanie?q=tp-link ,  https://www.avito.ru/rossiya/tovary_dlya_kompyutera/setevoe_oborudovanie?q=tp link , https://www.avito.ru/rossiya/tovary_dlya_kompyutera/setevoe_oborudovanie?q=тплинк , https://www.avito.ru/rossiya/tovary_dlya_kompyutera/setevoe_oborudovanie?q=тп линк
VS
https://www.avito.ru/rossiya/tovary_dlya_kompyutera/setevoe_oborudovanie?q=mikrotik , https://www.avito.ru/rossiya/tovary_dlya_kompyutera/setevoe_oborudovanie?q=микротик

Даже в Кореновске (!) есть гигабитный тп-линк за 400 (!) рэ, к-ый прекрасно шьется в OpenWRT  - https://www.avito.ru/korenovsk/tovary_dlya_kompyutera/prodam_vay_fay_router_tp-link_1349294964

Внимание. При покупке роутеров (по ссылкам выше) обязательно проверять hw ver (есть на коробке и на самом уст-ве снизу)
Все нижеследующее - IMHO.

А вот в зависимость от наличия устройства определенной версии и подходящей к нему прошивки попадать не хочу.
Держать их складской запас - тоже.
Ситуации вроде срочной замены\открытия новой площадки делают такой подход для меня неприемлемым. Плюс это может породить зоопарк устройств в отдаленных точках.
В моем случае человек владеющий мышью может даже купить устройство на месте, залить туда рабочий конфиг, полученный по почте\вайбером и т.п. и начать работать.

@Igor:

Помогите подобрать железку для построения OpenVPN туннеля

Эх, молодежь. Щас насоветуют МТ, Юби, Циски и иже с ними.

Будем проще. Выбирайте :

1. http://tomato.groov.pl/?page_id=69 (из коробки)
2. https://bitbucket.org/padavan/rt-n56u/downloads/ (из коробки + мощнее железо + поддержка на аппаратном уровне AES)
3. https://github.com/zhovner/zaborona_help/wiki/OpenWRT-LEDE-(TP-Link-only) (из коробки + инс-ции по настройке)

Я бы рекомендовал Asus RT-AC51U (2.4\5 Ггц ви-фи + usb-свисток можно докинуть) - https://4pda.ru/forum/index.php?showtopic=712598 . После покупки шьем Падавана (п.2) и настраиваем впн.

Внимание. При покупке роутеров (по ссылкам выше) обязательно проверять hw ver (есть на коробке и на самом уст-ве снизу). Потому как внешне уст-ва разных hw ver, но одной модели совершенно одинаковы.

использую mikrotik-и + L2TP для туннеля, openvpn как то не получилось запустить

OpenVPN мне больше нравится легкостью управления маршрутами - любому филиалу я могу на центральном pfSense добавить\убрать любой маршрут без доступа к самому Микротик.  Если есть желание - могу помочь. Настраивается за пару кликов.

Вот, собственно, настройки на Микротике

interface ovpn-client print detail
Flags: X - disabled, R - running
0  R name="ovpn-out1" mac-address=xx:xx:xx:xx:xx:xx max-mtu=1500
      connect-to=1.2.3.4 port=xxx mode=ip user="dummy" password=""
      profile=default certificate=cert.crt auth=sha1
      cipher=aes256 add-default-route=no

Хвалят также EdgeRouter от Ubiquiti.  Wi-Fi - отсутствует
http://lanmarket.ua/stats/obzor-routera-EdgeRouter-X-ot-Ubiquiti-Networks
Вроде как есть аппаратная поддержка шифования AES, но не знаю, задействуется ли она в OpenVPN.

Условный аналог EdgeRouter от Микротик - RB750Gr3. Wi-Fi - отсутствует
https://mikrotik.com/product/RB750Gr3