En la práctica, rara vez veo que la infraestructura de la empresa lo maneja y, en cambio, lo que sucede es que la empresa se suscribe a la WAN con un proveedor que hará que el acceso entre los sitios sea transparente y garantice absolutamente que el tráfico de las empresas no se mezcle. de cualquier manera que otros clientes de ese proveedor puedan piratear el tráfico.
Si no tiene ese servicio y necesita un rollo propio, o tal vez no confía plenamente en el servicio, una VPN de sitio a sitio cifrada con AES256 generalmente se considera una buena práctica. El enrutador de la red podría tener la capacidad de hacer esto y se consideraría una buena práctica, especialmente si esas características están integradas en el equipo de red de una marca de buena reputación.
Otra opción sería los cortafuegos en cada sitio que establezcan la vpn de sitio a sitio. Si eso es "mejor" que usar las características IPSec en los enrutadores es un gran "depende".
Desde la perspectiva del costo, menos cajas cuesta menos, consume menos energía, produce menos calor y ocupa menos espacio en el rack. Desde la perspectiva de las operaciones de seguridad, más cajas significa más cosas de las que preocuparse por la configuración incorrecta y la introducción de agujeros de seguridad, o menos cajas para asegurarse de que estén parcheadas regularmente, menos cajas significa una superficie de ataque más pequeña.
No estoy seguro de por qué optaría por poner el servidor en la Internet pública en una DMZ si el único acceso proviene de la empresa desde el sitio A o B. Si lo coloca en una DMZ en la Internet pública, sería susceptible a la seguridad errores en su firewall DMZ, errores de configuración (que están ahí desde el primer día o introducidos a través de cambios), etc.
Los DMZ están destinados a ser lugares donde se colocan servidores que deben estar expuestos a la Internet pública y no hay alternativa. Si hay una alternativa, la alternativa siempre será la mejor ruta. No hay nada en la pregunta que justifique tomar este riesgo.