Kommt drauf an.

Wir haben hier (bei meinem Kunden) eine Ständige VPN Verbindung zu einem Kunden. Diese ist als Zwei-Wege Verbindung eingerichtet, und so hat der (End-)Kunde Zugriff auf das Netzwerk meines Kunden. Das muss aber nicht so sein.

Man kann freilich eine Firewall dazwischen setzen, der eingehende Verbindungen nicht zulässt.
Man kann auch eine DMZ erstellen, so dass der Kunde bei Bedarf nur Zugriff auf bestimmte, in der DMZ liegende Systeme erhält.

Alles in allem ist das aber, egal wie man es gestalten will, 100% Konfigurationssache. Wobei ich jetzt unter Konfiguration bei einer DMZ auch die physikalischen Steckverbindungen in den richtigen Switches / Routern zähle.

Also: Per se ist eine VPN-Verbindung tatsächlich zwei-wege, und wenn man die IP des Einwählenden Endpunktes kennt, kann man auf ihn zugreifen, sofern dieser Endpunkt nicht durch eine Firewall etc. geschützt ist.

Wenn dieser Endpunkt aber z.B. ein Router ist, der eingehende Verbindungen nach /dev/null routet, dann ist man so sicher, wie der Router sicher vor Manipulationen von dieser Seite aus ist.