VPN-шлюз позади брандмауэра

В этом случае VPN-шлюз защищается брандмауэром от атак. Однако необходимо сконфигурировать брандмауэр таким образом, чтобы он пропускал пакеты, несущие зашифрованный траффик. Шлюз по-прежнему должен принимать как зашифрованный, так и незашифрованный трафик из публичной сети. Но угроза его взлома существенно ниже, поскольку незашифрованный траффик предварительно обрабатывается брандмауэром. Как и в первой конфигурации (VPN-шлюз перед брандмауэром), в этом варианте отсутствует резервирование связи корпоративной сети с публичной сетью.