Bonsoir,
Vous n'avez pas tout compris au concept de DMZ :

- généralement dans une architecture avec DMZ, le firewall contient 3
"pattes" (i.e 3 interfaces réseaux distinctes) : une pour Internet, une
pour la DMZ, une pour le réseau local (le LAN)
- cela permet de séparer "physiquement" les machines du LAN et de la DMZ
- normalement, le LAN n'a pas besoin d'avoir de flux réseaux en entrée
depuis Internet
- par contre, les serveurs en DMZ doivent accepter des flux en entrée
(accès au Web, mail externe vers votre serveur SMTP...)
- si une machine est compromise dans la DMZ, une séparation physique des
réseaux et des règles de firewalling distinctes, devraient éviter l'accès au
LAN depuis la DMZ
- la DMZ ne consiste pas à protéger le réseau "interne" de l'extérieur,
c'est le masquage qui fait ça (conversion adresses privées du LAN en
adresse publique sur Internet via votre firewall). [C'est une explication
basique car les "experts en sécurité" pourront me reprocher que le
masquage/NAT n'est une fontion de protection du LAN].

En conclusion, avant de vous lancer dans la configuration d'un VPN
(autrement plus complexe), commencer par revoir vos bases et redéfinir
l'architecture de votre SI?*.
De rien.

A++ Foxy.