> Подскажите пожалуйста куда начать копать.
> Можно ли (имеет ли смысл) объединить удалённые площадки, если одна из площадок
> находится за провайдеровским NATом?
> Какой тип VPN тут подойдёт: ipsec, gre?
> Какие могут быть ограничения, сложности если так пытаться сделать? Односторонняя инициализация
> VPN?
> Что нужно просить у провайдера (проброс портов, qos)?
> Будет ли VPN подниматься при наличии трафика с той или другой стороны?
> Оборудование: Cisco 2800
> Спасибо.

Имеет смысл.
Multipoint GRE VPN (DMVPN), а уже сам туннель защищайте IPSec при необходимости.
Изначально никаких.
DMVPN - по определению одностоорнняя инициализация. Клиент (spoke) подключается к хабу.
У провайдера ничего просить не надо. Все должно работать, если провайден не быдло. Если быдло - то у него может быть закрыт GRE (47) протокол. Проверяется элементарным поднятием PPTP туннелем с любого компьютера.
NAT по определению не пропускает инициализацию входящих соединений. На DMVPN туннеле  настраивается keepalive и, как дополнение, можно прикрутить IP SLA на стороне spoke чтобы Cisco сама пинговала головной офис через туннель.