frees/wan (version 1.99 patchée X509) marche bien avec l'ipsec foireux de microsoft.
Il est chiant a mettre en oeuvre, surtout à cause de la separation partie kernel / partie user qui doivent etre en phase, mais il tourne plutot pas mal.
Quand au positionnement sur le reseau, il faut de toute façon q'il soit visible de l'exterieur. Les VPNs n'aiment pas toujours le NAT, et il est souvent utile de faire du client C1 - gateway G1 - net - gateway G2 - client C2 en ne securisant que G1-G2 (le reste est protégé par les firewalls de chaque sous-reseau)