Segurança no servidor www com o OpenVPN?

Em uma máquina separada Eu configurei algum servidor www baseado no Debian 8 para fins de teste. Também tem samba e servidor GIT instalados. Hoje recebemos ip público do nosso ISP e eu redirecionei a porta: 80 para o nosso servidor de máquina LAN.

 LAN SERVER [*.*.0.200:8010] <= INSIDE ROUTER [*.*.1.100] (:80 redirection to *.0.200:8010 ) <= OUTSIDE ROUTER(:80 redirection to *.*.1.100:80)

Nosso projeto já tem alguns mecanismos de autorização e login aplicados, mas tudo está no estado inicial (pre alpha), então temos medo da segurança. Mas o servidor precisa ser exposto para o nosso chefe (para acompanhamento de progresso) e pessoas que trabalham em escritórios em outra cidade (testadores) que são os alvos deste projeto.

Então pensamos sobre o túnel VPN de configuração para usuários externos em nosso servidor de LAN. Já li alguns artigos como este ... link

E agora nós (porque eu vou ter que configurá-lo) estamos pensando em redirecionamentos de configuração dessa maneira

LAN SERVER [*.*.0.200:8010] <= VPN Server [*.*.1.210] (:80 redirection to *.0.200:8010 ) <= INSIDE ROUTER [*.*.1.100] (:80 redirection to *.0.210:80 ) <= OUTSIDE ROUTER(:80 redirection to *.*.1.100:80)

onde o servidor VPN será uma máquina separada ou uma máquina virtual com seu próprio IP configurado na máquina LAN SERVER. Todo o tráfego externo terá que passar pela VPN, mas os usuários da LAN podem acessar diretamente o servidor pelo endereço de 0.200: 8010.

O que você acha dessa ideia?