Hallo Uwe,
ich weiß, ich bin neu - kann Dir zu OpenVPN nicht wirklich etwas sagen, Aber da ich anderweitig viel mit Standortvernetzung zu tun habe, eine Gegenfrage...
Warum machst Du keine VPN-Verbindung über die Router?
In diesem Fall musst Du die Ports 500/4500 UDP und das Protokoll (50) nicht auf die nachgeschaltete NAS forwarden - bzw. bei SSL-VPN Port 443, den Du evtl. lieber für den Excange-Server oder andere sichere Zugänge benutzen würdest.
Du könntest eine sicherere IKE/IKEv2 Verbindung aufbauen und die Phase-II SA nur auf die IPs der NAS bilden:
NAS-Zentrale (IP 10.0.0.1/32) <-> NAS1 (IP 10.1.0.1/32)
NAS-Zentrale (IP 10.0.0.1/32) <-> NAS2 (IP 10.2.0.1/32)
Die Phase-I SA kannst Du dann über die statische öffentl. IP (empfohlen), einen DynDNS-Anbieter (nicht empfohlen) oder RSA (empfohlen) bei dyn. öffentl. IP aufbauen.
So verschwendest Du weder Lizenzen noch Ressourcen, da Du über den kleinen VPN-Stern viel explizierter Regeln und bei wachsenden Bedarf weitere Dienste senden kannst.
War nur ein Vorschlag.
Gruß
Alex
P.S.: Jedes Nas muss sich in einem anderen Netz befinden, sonst gibt es ein Problem beim Routing. So adressierst Du den Sync auf die IP des anderen NAS un der Rest macht das Routing und der VPN.