Соломы много не бывает

«Расшарить за три секунды», говорите?

Поверьте, очень помогает предварительно в самый верх конфига файрвола добавить разрешительное правило до рабочего места админа и до его VPN-сервера. Тупо по всем протоколам — потом уберёте. На эти же адреса ставите статик-маршрут в сторону, куда у вас указывает шлюз по умолчанию (на случай его внезапной пропажи). Ковыряете транк между коммутаторами, меняете протоколы? Делайте это по одному порту за раз. Сделайте лишний VLAN, который не затронет такая переделка, зайдёте потом с коннектед-интерфейса. Заранее включите протоколы доступа для этого «чёрного хода».

Примета такая: «Ковырять файрвол на удалённом хосте — к поездке». И чем больше настелить соломки, тем больше вероятность, что не сбудется.