Надо поднять тоннели между серверами в разных датацентрах и гонять мультикасты. Собственно, не могу решить, на чём их сделать. GRE-тоннели, по идее, работают быстрее и с минимальным оверхедом, но поверх надо прикручивать ipsec. В tinc шифрование уже есть, но какой-то он замороченный (хотя по сравнению с openvpn достаточно прост). grelan настраивается в три строчки, но зато для того, чтобы с пользовательской машины (которые практически все за натом) попасть во внутреннюю сеть, всё равно придётся ставить отдельный впн-сервер.