Hast du Zugriff auf die Routertechnik, welche im Netz "Domäne" ist? Weil wenn nicht, dann wirst du wohl nur ausgehende Verbindungen hinbekommen... Einfach aus dem Grund, alles, was an Traffic eingehend zu deiner WS2 geht, muss natürlich wissen, wo diese WS2 zu finden ist. In deinem Fall muss die Routertechnik oder die anderen PCs/Ressourcen im Netz wissen, dass WS2 "hinter" der WS1 steht. Für ausgehend, also von der WS2 in Richtung Domainnetwork kannst du "tricksen" indem du einfach jegliche Verbindungen von der WS2 auf die IP der WS1 "nattest".
Mit etwas mehr Trickserei könnte die andere Richtung zwar auch funktionieren, aber das wird dann schon "schwieriger".
Machbar ist das auf mehreren Wegen. Eine Einfache wäre, nimm dir eine Virtualisierungssoftware, welche auf der WS1 läuft, bspw. VirtualBox, VMware Workstation oder irgendwas dergleichen (mit dem VMware Player habe/hatte ich teils Probleme bei gebridgten Netzwerken! -> würde ich primär nicht empfehlen. Kostet zudem im Unternehmenseinsatz auch Geld)
Dann erstellst du eine virtuelle Maschine und installierst dort drin eine Firewall/Router/NAT Appliance deiner Wahl. Die gibt es OpenSource und Kostenfrei wie "Sand am Meer". IPCop, IPFire und wie die Dinger alle heißen. Oder gern auch native mit Linux und den Spaß selbst konfigurieren. Selbst Windows kann das, ich glaube aber erst in einer Server Version.
Die VM bekommt dann zwei virtuelle Netzwerkkarten. vmnic1 geht genattet auf die Netzwerkkarte von WS1, welche am Domainnetzwerk teilnimmt. Und vmnic2 wird gebridged auf die zweite physische Netzwerkkarte von WS1...
Mit der Konfig hast du die Möglichkeit, der VM eine IP im Bereich "Lokales Netz" zu geben und auf der bildlich gesehen anderen Seite nutzt du eine virtuelle NAT IP, welche auf die physische IP deiner WS1 umgesetzt wird.
Zum Abschluss gibst du noch der WS2 eine statische Route mit. Nach dem Motto "route add xxx.xxx.xxx.xxx mask yyy.yyy.yyy.yyy zzz.zzz.zzz.zzz". Die xxx stehen für das Destination Netz, die yyy für die zugehörige Maske und die zzz ist die IP, welche du der VM gegeben hast (intern), also nicht die NAT IP!
Fertig...
Der Part von oben mit dem "schwieriger" wäre bspw. angreifbar, wenn du eine zweite IP auf der Domainnetzseite ausfassen kannst und anstatt wie oben erwähnt NAT auf die eine/erste IP der WS1 einfach auch bridged einstellst und als IP diese zweite IP verwendest. Dann sollte die VM allerdings ein 1:1 NAT der hinterliegenden WS2 machen. Sprich jegliche ausgehende Kommunikation wird 1:1 auf diese (bildlich gesehen) zweite IP der WS1 genattet. Und jegliche eingehende Kommunikation wird 1:1 von dieser zweiten IP auf die interne IP (oder eine definierte IP in "Lokales Netz") der VM umgesetzt. Die statische Route brauchst du weiterhin auf der WS2. (eine default Route kann es aber auch sein, wenn du ALLES da hinschicken willst, was nicht anders statisch geroutet oder bekannt ist)
Ein Part, der allerdings damit weiterhin nicht geht, wenn Daten in der Form ausgetauscht werden, dass WS2 seine eigene IP im Paketstrom mitsendet und die Gegenseite mit dieser mitgesendeten IP dann agiert, wird das (weiterhin) nicht funktionieren, denn die Gegenseite im Domain Netzwerk kennt diese IP ja nicht -> da diese ja von "Lokales Netz" stammt. Das wäre aber ebenso ggf. "lösbar", wenn du einen Reverse Proxy einsetzt... Der kann, je nach Software, Produkt und Konfiguration für dich das "Umschreiben" solcher Infos übernehmen. Klappt aber bei weitem nicht IMMER und überall. -> klassisches Beispiel dafür wären Webseiten, welche in einer DMZ stehen und wo der Reverse Proxy die Verbindung von "außen" terminiert. Bspw. ein Exchange Outlook Web App mit dem FrontEnd Server in der DMZ und einem Reverse Proxy davor.
Mit VPN geht das natürlich auch. Vom Prinzip her ist das eigentlich identisch. Du installierst dir die VPN Server Software auf der WS1 (oder einer VM auf der WS1) und gibst entsprechend in der Konfig mit, dass der Traffic auf die phyische IP der WS1 umgesetzt wird. -> bringt dich aber effektiv auch nicht weiter mit VPN. Vorteil davon wäre maximal, wenn WS1 und WS2 nicht direkt verbunden sind, sondern der Traffic erst über für dich nicht zugängliche Switches laufen würde, könntest du den Traffic vor Dritten verschleiern. Denn man sieht nun nicht mehr, was du da für Pakete überträgst, sondern nur noch die VPN Pakete. -> damit brauch es den "Schlüssel" zum entschlüsseln.
Unterm Strich klingt das für mich aber irgendwie etwas abenteuerlich muss ich sagen... Wenn du PCs hast, die Mitglied eines AD sind, dann riecht das für mich arg nach Firmenumfeld. Die Frage ist, werden die "Jungs und Mädels" der Adminetage das gut finden, was du da vorhast? Wenn ein MA bei uns in der Firma derartiges Zeugs versuchen würde, dem würde ich aber sowas von auf die Finger klopfen
Die Frage die sich mir nämlich stellt, warum wird WS2 nicht einfach ans Domainnetzwerk angeklemmt? -> dann kannste dir den "hässlichen" Link mit der zweiten NIC sparen und schickst den Traffic einfach vorne rum. Die WS2 hätte direkten Zugriff auf alle Ressourcen im Domainnetzwerk und fertig...
