O que você está dizendo está correto. Você pode SSH / VPN diretamente entre os dois pontos para evitar esse problema.
Digamos que haja um servidor na rede em que você deseja tráfego criptografado de ponta a ponta. Você configuraria um servidor SSH no servidor (ou um servidor VPN como o openVPN) e depois se conectaria a ele a partir do outro ponto final. O problema aqui é que você precisa ter acesso ao gateway para encaminhar o tráfego ssh / vpn para esse servidor interno.
Uma maneira de contornar isso é usar um serviço como o Hamachi. Isso permitirá que o tráfego final e final criptografado não tenha encaminhamento de nenhuma porta. Há também maneiras de reverter a conexão com o SSH para contornar firewalls / encaminhamento de porta.