Разрешите вставить свои мысли.
Я не рекомендую уменьшать маску ниже 24 там где этого можно избежать. Как минимум вы увеличиваете широковещательный домен, а broadcast штука полезная, но с ним надо быть на чеку. Начинать надо строить сеть сразу правильно, пока она маленькая. Зачем использовать 23 или 22 маску если у Вас всего ну в худшем случае наберется 300 устройств? Не умнее ли взять, ну например несколько сетей, на худой конец также 24. Одна 24 под рабочие станции, одна 24 под серверы, одна 24 под принтеры, одна 24 под vpn и одна 24 под мобильные устройства. Это конечно грубо, а так можно посчитать с учетом прироста и выбрать где-то 26,27 или 28 маску + оставить пустоты из 24 сетей на случай роста. Каждой сети выделить vlan, маршрутизацию этих сетей передать на Ваш kerio, если нет коммутатора с поддержкой l3. Опять же уйти от 192.168 сетей в сторону 172.16. а лучше в сторону 10. Всё-таки в 192.168 мало подсетей и мало адресов, поэтому их лучше использовать на корневых устройствах в распределенных сетях. Плюс в этой сети можно попасть на пересечение. Простой пример, у удаленного пользователя дома сеть 192.168.0.0/24, она совпадает с Вашей. По vpn он подключиться, получит какой-то адрес, но на ресурсы компании он никогда не попадёт, потому что его пк будет знать что он в сети 192.168.0.0/24 поэтому запрос дальше портов коммутации никуда не уйдёт.