Доброго времени суток всем.
Я на администратор, говорю сразу, а программист. Поэтому не бросайте камни :)
Есть два вопроса, в которые никак въехать не могу.

1)Когда мы делаем стандартный впн, мы берем (в упрощенном виде) сервер, ставим туда две сетевухи. Одна выходит в wan, другая в lan. Соответственно, мы поднимаем впн сервер, который слушает определенный порт на wan сетевухе. При правильном пароле, он поверх wan сети делает тунель и перенаправляет пакеты на лан сетевуху. Правильно? Однако, что делать, если стоит следующая задача. Есть сервер в нете. Чтобы обезопасить доступ к нему, хотят сделать впн сеть. Вот тут меня клинит. В упор не понимаю алгоритм построения такой впн. Объясните пожалуйста.

2)DMZ это зона, которая не стоит за файрволом и к которой могут подключаться из интернета.
Прежположим у нас такая сеть (fw - firewall):

интернет        LAN1                             LAN2
--------!роутер!----!  WEB сервер  !
               !
               !----!VPN Server+fw !--------Comp1,Comp2,Dataserver...
LAN 1 получается у нас DMZ. Так? Но тогда по логике вещей у нас VPN сервер должен быть в DMZ. , а то к нему по другому не подкючиться. Итого, разве такой вариант не нарушает принцип DMZ? Или есть более безопасные варианты? Подскажите, кто знает.