Considere a figura a abaixo. Analisando a figura, um Técnico conclui corretamente:

Com o servidor VPN atrás do firewall e conectado à Internet, os administradores não precisam adicionar filtros de pacote para a interface da Internet.

Para o tráfego de entrada, o cliente VPN deve criptografar os dados encapsulados e os encaminhar ao firewall, que usa seus filtros para permitir o tráfego para os recursos da Intranet.

Como o único tráfego de Internet permitido na Intranet deve passar pelo servidor VPN, esta configuração evita que recursos da Intranet sejam compartilhados com usuários de Internet não conectados ao servidor VPN.

Com o servidor VPN à frente do firewall e conectado à Intranet, os filtros de pacotes de entrada e saída neste servidor devem ser configurados para proibir o tráfego VPN no endereço IP da interface de Internet do servidor VPN.

Como não há autenticação de clientes VPN, o filtro de firewall não consegue evitar que usuários do VPN acessem determinados recursos da Intranet.