> Если мне нужно филиалы в разных городах присутствия объединять […]

Мелкому бизнесу или команде разрабов только mpls vpn не хватает для полного счастья :) Контроллеры домена через tailscale установленный прямо на контроллере работали как ни в чём ни бывало, но там всех юзеров с полсотни в офисе на одном конце страны, и чуть меньше трёхсот в офисе и мне офиса на другом. Тут буквально что угодно будет работать, поэтому выбран был самый удобный конечному пользователю вариант. А у среднего и крупного есть и задачи, и деньги на админов, там и без tailscale разберутся.

> Если нужно пользаков в режиме roadwarrior к корп. ресурсам пустить - то тут основные драйверы выбора - централизованное управление с интеграцией с корп. IDM\сервером каталогов, аудит\отчетность, возможность гранулярного предоставления ресурсов с привязкой по ролям, поддержка windows + macos as first class citizen, комплаенс-менеджмент устройств, коммерческий саппорт, 2fa и т.д. - сам wg тут может вот ровно "ни-че-го", а что там вокруг него уже напердолено - без реальной задачи выяснять лень.

Вот это всё умеет Tailscale, в том числе с опенсорсным сервером. Поддержка Windows и MacOS (а так же Android и iOS) на высшем уровне — подписанное производителем приложение в сторе, куда лучше-то? Коммерческий саппорт тоже есть, но мне не пригодился. Комплаенс и так далее, включая 2fa тоже поддерживается — напрямую с твоего AD, с группами и ограничениями кому что можно и что нельзя. Проверил уже несколько раз на разных компаниях. Дёшево и сердито, малый бизнес пищал от счастья, особенно их аутсорснутые админы доменов были рады — завёл OIDC и больше ничего делать не надо.

> Вот в кубике при "гибридно-облачном" развертывании или там во внешнем ЦОДе wg на cni вместо istio - нууэээ моооожеееет быыыть - но тут прям смотреть\думать надо - а больше и хрен знает, накой оно (мне) может понадобиться.

Подключить к своему tailnet кластер можно, и работает тоже очень хорошо: и ACL, funnel, и всё остальное. Но для объединения кластеров, как по мне, Cilium + Istio и проще, и быстрее будет. Гибридные варианты, когда основные ноды on-prem, а клауд используется для компенсации пиков и failover скорее всего всё равно будут либо подключены через какой-то роутер, а там проще централизованный VPN настроить или прямое соединение в точке обмена поднять. Локалхостный k8s из двух нод тоже работал, что ему станется-то. Сейчас вот бэкапы льются через tailscale, но опять же, это вопрос чисто моего персонального удобства, а не необходимости. Бэкапы и через SSH-тоннель залились бы, да и между нодами можно вручную что угодно завести.

> А вот задача "прицепиться к чужому пионЭрнету" - таки да, встречалась - и решать её вот этим вот, гм, клиентом - было не то, чтобы приятно.

Чужой пионернет придётся костылить так или иначе, если ты не на Линуксе. ВГ под винду ужасный, если верить поху, так что либо линукс в bhyve^Whyper-v^WWSL, либо роутить через какую-то внешнюю машину (на DragonflyBSD, конечно же ;), подключенную и к твоему tailnet, и к пионернету.