Ça dépend vraiment les besoins en vrai, il n'y a pas de bonne réponse absolue.
Moi j'aime bien les appliances pour leur facilité de maintenance, pas pour leurs performances.
Ce que je préconise généralement chez mes clients, c'est de l'appliance virtualisée en Datacenter et du CPE le plus simple possible, et un petit L2/L3VPN porté par l'opérateur entre les deux.
Coté VPN, y'a deux écoles : Les OpenVPN ou autres Wireguard qui ont l'énorme avantage d'être quasi plug&play (une app à installer, un profil a double cliquer et c'est parti) VS les solutions de VPN L7 SSL avec client lourd, je ne suis pas fan, mais visiblement ça fait bien le café et ça sait se dépatouiller même sur des profils de connexion compliqués
Ah et de toute façon, en split tunneling (une bonne pratique si il fallait le rappeler), les perfs vers les applis métier... Pour une TPE (encore une fois), c'est tellement pas un sujet, si le vpn fait 4mbit/s de moyenne c'est déjà bcp