в openvpn нет spoke2spoke как класс.

Парни, ну вы чо? Я про кровавый enterprise говорю, какой openvpn, какой wireguard?
Какой-нибудь Sophos, Juniper или Checkpoint.
Cisco dmvpn или Viptela.
Какие ещё варианты?

Ну я-то тож про кровавый энтерпрайз. Вайргард вполне уже себе капабл.
Но если речь про глубокую поддержку - можно, нпрмр, DVPN построить на HPE.

один из самых простых и красивых протоколов для hub2spoke с возможностью spoke2spoke

у меня когда-то один клиент с моей подачи порядка семисот офисов на нем соединил и очень радовался, во всяком случае, первые пару лет.

Это хорошо. Но если бы проблема была только в mesh vpn - это одно. А я не зря упоминал систему управления/мониторинга. С ними как вообще?

практически каждый вендор имеет собственную систему провижнинга. в случае вайргарда не зря был упомянут эджроутер, у юбиквити вполне всё хорошо с централизацией. у хьюллета тоже есть какой-то продукт для этого.

в текущем состоянии мира адекватный провижнинг с мониторингом можно сделать даже на базе микротика, свят-свят. поэтому основной вопрос выбора именно энтерпрайзного решения - в интеграции с существующим и в поддержке вендора при внедрении и затем.

эджи, например, крайне прекрасны ценником. при цене около 50 долларов за cpe на масштабах в сотни устройств уже прямо сильно ощущается разница с конкурентами :)

Я хорошо знаю за серию EdgeMax, она прекрасна для SOHO, но для кровавого - не очень, вот честно.

ну это уже вкусовщина начинается.  пока не очень понимаю, чем бы меня остановили эджи от внедрения их на десятки/сотни бранчей

UNMS хороша, Микротику до такого очень далеко, но она не умеет массово раскатывать изменения. Вообще через неё конфигурация довольно ограничена.
Короче - хорошо, но до решений типа InControl и что там у Sophos’а (забыл название) далековато.

Вот у меня изменился какой-то ip, который используется в правилах фаервола на почти всех устройствах, а так же в настройках, скажем, dhcp на некоторых. У взрослых систем - это какой-то объект, который упоминается в правиле и в настройках в некоей центральной системе. А если её нет - то ты как дурак собираешь по всем конфигам, где он используется, потом руками на всех меняешь.

И потом ещё долго вспоминаешь, не забыл ли чего.

Я сам использую много ER-X и ER-X SFP на SOHO-точках, через UNMS их мониторю, мне очень нравится.
Но в кровавый.... пока нет.
Будет центральная конфигурялка - да, сразу.

это сейчас как раз уже не проблема вне зависимости от оборудования. в природе есть ансибль, паппет и туева хуча других средств управления конфигурациями. вендорские же решения чаще всего ограничивают тебя в средствах, поэтому тут в основном вопрос в том, к чему именно ты привык как к объектам управления. и исходя из этого, брать нужно не "другого вендора", а "привычного вендора". как это обычно в кровавом энтерпрайзе и делают.

Давайте пример.
Готовый кросвендорный софт, который всё это умеет? Готовый!
Я знаю за ансибл, за всякие другие, что можно «сесть и написать всего за полчаса»(с) такую штуку.
Но что-то на рынке в основном решения от вендоров.

Объект - это всё. Ip, dns-имя, строка url. Правило фаервола.
И в нужных местах это можно привязывать к нужным совместимым девайсам.

Я не встречал нормального кросвендорного решения даже за большие деньги.

@neuromap будет жить. Поприветствуем!