[malysh!]

Цитата anderson-7:

можете только »

два своих dns-сервера всё решат - это очевидно
ведь Вы посмотрите -
клиентские машины в этом процессе ну никак не главные, всё решается на уровне разрешения dns-имён,
соответственно, кто разрешает dns-имена, тот и правит балом, обход фильтрации гарантирован.
и
если одни и те же клиентские машины, в зависимости от того какой доменный пользователь на них вошёл (точнее - к какой группе в домене этот пользователь принадлежит), - смогут разрешать dns-имена через разные серверы, то это и будет то что нужно.
заходит на машину пользователь, состоящий в группе "учителя" в домене, и машина обращается к одному dns-серверу в локальной сети,
заходит "ученик" - и к другому.
соответственно, один свой dns-сервер разрешает имена через dns-сервера провайдера, и обеспечивается фильтрация,
другой свой dns-сервер разрешает dns-имена через vpn, то есть через шифрованный gre-туннель, и этим действием обходит перехват трафика по порту 53 на серверах провайдера.

как-то так ..