Трафик должен соответствовать Вашим локальным и удаленным подсетям SPD для движения через IPsec. Самый легкий помещается Ваша подсеть OpenVPN в локальной подсети IPseec сайта, где сервер OpenVPN находится. Также должен продвинуть соответствующие маршруты клиенту OpenVPN. Это все покрыто подробно в http://pfsense.org/book
Да, это безопасно, но все домены приложений будут подчиняться такая же конфигурация. Если вам нужно определить разные квоты, изолировать экспериментальный код или использовать другую версию mono, вам нужно будет запустить несколько экземпляров mod-mono-server.