1. купить у провайдера MPLS L2 сервис
2. поднять GRE + 3DES на сиське (все остальные GRE не шифруют)
3. поднять IPSec на чем угодно

вариантов немного, важно, что от проблемы шифрования траффика вам не уйти


ЗЫ "роутеров" == "маршрутизаторов"
ЗЗЫ забудьте про винду, если речь идет о сетях или безопасности

автор"Купить" у провайдера какие-то сервисы не получится - своя специфика - есть только 2 Ethernet дырки с присвоением этим дыркам ИП прова.
охотно верю, но а почему купить нельзя?
авторглавное роутеры должны не только делать прямую переброску с одного на другой
но и (по условию) делать перенаправления на сервер провайдера (кое-какие сервисы мы берем прямо у него)
вы сами понимаете что пишете? То что вы хотите сказать -- всего-лишь на оконечных маршуртизаторах необходимо корректно настроить маршуртизацию.
автор
Еще есть один ньюанс - если покупать какую-то железку - хотелось бы отказаться от сервера, который сейчас выполняет роль шлюза (это уже пожелания из финансового отдела) ...
вообще - реальны ли такие требования?

зачем выкидывать сервер, зачем вообще что-то покупать? Поставьте на каждый оконечный сервер OpenBSD (хоть соляру, главное не винду) и все
авторЗЫ: если не сложно - буду рад какие-то примеры моделек, которые поддерживают все эти требования, ну или большую их часть
не сложно, но вы сами не понимаете что вам надо, требования, это конкретные параметры, типа пропускной способности, фич (к примеру IPSec-dialup, VoIP, IPS, Antivirus) и прочее, поэтому деньги будут потрачены, а результат не достигнут

мое мнение: ничего покупать не надо, ставьте юникс/линукс, настраивайте маршрутизацию фаерволл нат прокси и прочее...

Tosh,

наймите админа и не мучайте себя и окружающих