Раздавать /28 подсеть на все устройства не надо и она нужна лишь для связи между офисам. В самих же офисах делаете свои подсети необходимого размера с любыми адресами, главное чтобы они не пересекались между собой и выделенной вам провайдером подсетью. Например, резервируете 10.2.0.0/16, 10.3.0.0/16 и 10.4.0.0/16 для офиса 1–3 соответственно.
Далее на пограничном маршрутизаторе в каждом офисе настраиваете:
- LAN-порт на обслуживание локальной подсети.
- WAN-порт для L3VPN, выделяя один IP-адрес на устройство (офис). Например, 172.16.0.2, 172.16.0.3 и 172.16.0.4 для офиса 1–3 соответственно.
- WAN-порт для доступа в интернет если это необходимо.
- Маршруты для доступа к другим офисам через L3VPN. Для офиса 1 будет примерно так:
Destination Gateway
10.3.0.0/16 172.16.0.3
10.4.0.0/16 172.16.0.4
- Для трафика между локальными подсетями отключаете NAT, если по умолчанию на вашем железе он включён.
- Соответствующим образом настраиваем файрволл (если есть), чтобы входящий трафик из других офисов не блокировался.
- Опционально для параноиков. Поднимаем свой VPN между офисами, чтобы недобросовестный провайдер не мог смотреть трафик.