Du kannst und solltest den DSL-Router so konfigurieren, dass nur die VPN-Verbindung erlaubt ist. Ein zusätzlicher CP ist sicherlich hilfreich, auch aus dem Grunde damit keine Broadcasts aus dem anderen Netz über die VPN Verbindung laufen falls du diese ins gleiche Subnetz legst, oder sonst jemand auf die Idee kommt zur SPS eine Verbindung aufzubauen. Leider erlaubt eine S7 auch Routing in andere Subnetze, was man soweit ich weiß nicht verhindern kann.
Wenn du eine TCP-Verbindung verwendest, kannst du auch nur diesen einen Port den du parametriert hast für die VPN-Verbindung freigeben, und alle anderen Ports und Dienste sperren. Dann kannst du dir sicher sein dass die Verbindung für nichts anderes verwendet wird (es kann natürlich jemand andere Daten über den Port schicken). Bei einer S7-Verbindung wäre das Port 102, und über den lässt sich auch die Steuerung programmieren.