Насколько велика должна быть подсеть VPN типа "сеть-сеть"?

Пользователям VLAN для передачи данных в нашей штаб-квартире и будущих удаленных офисах потребуется доступ к файлам, плавающим сетевым лицензиям и т. Д. С удаленных серверов, поэтому нам понадобится VPN-соединение типа "сеть-сеть" для сетей передачи данных. При настройке нашей штаб-квартиры я подумал, что поступил умно, используя большую (класс B, также известную как 255.255.0.0) подсеть для VLAN данных, и что VPN-соединение типа «сеть-сеть» просто позволит нам расширить эту подсеть во всех будущих офисах. и пользователи в любом месте могут беспрепятственно подключаться к любому из серверов в любом месте. Однако теперь, когда я приступил к настройке VPN, я прочитал, что это плохая практика из-за задержки, связанной с широковещательным трафиком через Интернет.

У меня есть пара стоек, на каждой из которых работает pfSense в виртуальной машине Hyper-V. Они станут межсетевыми экранами для каждого сайта, между которыми будет установлена ​​сеть VPN типа «сеть-сеть». Параметры конфигурации pfSense для VPN типа "сеть-сеть" (я предполагаю, что OpenVPN в режиме SSL / TLS является наиболее безопасным вариантом) запрашивает три сети: туннельную сеть, удаленную сеть и локальную сеть. У меня вопрос, насколько большой должна быть туннельная сеть? Может ли это быть сеть класса C (255.255.255.0) с одним IP-адресом для каждого офиса или она должна быть достаточно большой, чтобы предоставлять адрес для каждого устройства во всех офисах? В последнем случае я явно не смогу предоставить каждому офису подсеть 255.255.0.0 (не то чтобы я думаю, что это было бы необходимо), но мне пришлось бы уменьшить размер подсети HQ (она, вероятно, имеет менее 500 хостов) в настоящее время, несмотря на наличие десятков тысяч доступных IP-адресов), которая изначально была предназначена для нашей глобальной сети?