Dupych

Сети в офисах должны быть разными.
У меня во всех офисах разные подсети.
Микроты офисы обьединяют через туннели.
Так вот иногда провайдеры чудят.
Будешь использовать костыли и когда поднимешь тунель на Wireguard то он не заработает ткткостыль был для OPEN VPN.
Как сделал я.
10.1.х.х - первый офис
10.2.х.х - 2 офис
10.3.х.х - 3 офис.

10.х.1.х - сервера и коммутаторы
10.х.2.х - пк и принтеры
10.х.3.х - ip телефония
10.х.4.х - сб. Камеры, скуд
10.х.5.х - wifi
10.x.6.x - изолированный wifi_guest. Без доступа ко внутренней сети.

Как вариант купить один управляемый коммутатор. За пару тысяч dlink des на авито.
Настроить на нем только loop detection на всех портах. Секунд 10.
И для теста подставлять вместо каждого..
Смотреть какие порты вырубит.
Скажем вырубило на 10 секунд 43 порт. Ждешь когда подымется. И так пару раз.
Начинаешь поодному вырубать порты.
Например при выключении 15 порта 43 перестал вырубаться.
Значит нашел ему пару.
И так дальше.
Если у тебя коммутаторы управляемые, но не настроены просто вруби loop detection кроме аплинкоаых портов.
Например с 1-48
49-52 аплинковые на них не включай.
В итоге погаснет порт пользователя на котором хабик в петле включен

Tinc vpn ставится везде. Прост как чайник.