O cliente VPN estabelece um túnel para o servidor VPN para acessar a rede privada. Portanto, espera-se que o cliente se conecte ao servidor VPN como qualquer outro serviço. Se você achar que o servidor VPN não tem um IP externo (IP público), seu IP privado pode ser NAT por firewall ou roteador de borda.
O firewall faz o trabalho de proteger a rede contra acesso não autorizado, além de outras tarefas como roteamento e NAT. O firewall pode ter vários endereços IP e não apenas um: privado ou público de acordo com a configuração da rede.