Iniciar no final: uma VPN coloca o computador cliente na rede do host ou pelo menos um deles. Uma vez conectado a uma VPN, você está na rede interna do host e não precisa mais se preocupar com a configuração da rede; todos os serviços devem funcionar como de costume. Mesmo ao colocar VPNers em uma DMZ, a DMZ deve estar toda configurada para lidar com solicitações de entrada com segurança inferior à do firewall de borda.
Quanto à questão principal, tudo faz parte da configuração do firewall. Você pode permitir, restringir completamente ou permitir somente em portas específicas ou de IPs específicos. Firewalls de pacotes profundos podem até mesmo bloquear dinamicamente conexões que pareçam abusivas. Para abrir o FTP, você tem que encaminhar a porta 21 (por padrão) para o servidor FTP, bem como um pequeno intervalo de portas para a segunda conexão - estas podem ser quaisquer portas que você quiser, você pode defini-las no servidor FTP. Você configura o servidor FTP com o IP externo correto, porque ele precisa dizer ao cliente onde se conectar e, então, tudo funcionará. O modo ativo, no qual o servidor se conecta de volta ao cliente, raramente é usado por causa do NAT e firewalls atualmente.