При условии, что ничего больше использовать нельзя и на внешние сети мы повлиять не можем, ваше решение мне кажется идеологически более верным.
Вариант "большого админа" мне нравится меньше из-за лишнего трафика через свитч. Запрос, отправляющийся в интернет идёт по пути Компьютер->Свитч->Маршрутизатор->Свитч->Модем->Интернет. Целый лишний хоп и удвоенный траффик на канале Маршрутизатор-Свитч :)
Конечно, от второго NAT хотелось бы избавиться путём настройки маршрутизации в сеть 10.х.х.х, но она потребует настройки со стороны 10.х.х.х, что нарушает условие задачи по невмешательству в работу других сетей.
