Fala amigo,
caso seja utilizado o openvpn o servidor por padrão ficará escutando (LISTEN) na porta 1194, lembro que isso é um padrão onde você poderá mudar no server.conf,
com isso esse servidor irá esperar conexões nessa porta,
precisamos que o firewall realizasse a entrega dessa solicitação ou seja,
ou seja você esta na sua casa com ip válido da Velox. ex:201.200.10.x e precisa se conectar na sua empresa que tem um endereço válido pela embratel ex 200.200.100.1, você terá na sua maquina um client do openvpn com o certificado e as configurações para acessar esse ip, quando você apertar o conect ele irá dispara uma solicitação de conexão no seu fw, quando chegar essa solicitação o fw ira falar "OPA ESSA SOLICITAÇÃO E 1194 E A VPN QUE ESTA RODANDO NA MAQUINA 192.168.1.5 DA MINHA REDE LOCAL, OU DA MINHA DMZ,) então ele ira entregar essa solicitação, como foi liberado o acesso de fora o fw irá entender que a conexão com a maquina interna (1.5 com a externa) possa fluir fechando o tunel e a comunicação.
Acho que é isso .
abs