前提・実現したいこと

外部から自宅のNASに安全にアクセスしたい。

出先から自宅や会社のデータにアクセスするというよくある要望だと思いますが、
自分はリモートアクセスに使用するソフトが脆弱性攻撃をされてもデータを安全に保つ方法を考えたいです。
自宅にsshサーバか、VPNサーバを立て、NASデータのやりとりをする方法をよく見ますが、リモート接続に関連するソフトウェアがゼロデイ攻撃された場合、攻撃者に平文データのNASに自由にアクセスされる危険性があります。

そこで、以下の条件で安全にNASアクセスをする方法を考えたいです。(ついでに、リモート操作できる専用PCも置きたい)

条件:
1.VPSなどの踏み台サーバーは利用せず、通信は外部の自分の端末と、自宅ネットワークで完結するものとします。
2.リモート接続の認証が破られたときのためにNASなどのリモート対象機器のセグメントはDMZ的にする。つまり、

自宅ネットワーク(network 2)-router2-リモート用セグメント(network 1)-router1-wan

のような構成にし、自宅ネットワークへの侵入はさせない。

以上の要件を解決する、ネットワーク構成もしくはNASの設定はあるのでしょうか？

特に、企業などの重要度が高い要件では、このように外部からアクセスをしたくて、ルーターやファイヤーウォールに穴を開けた場合は、どう対策をしているのでしょうか？

自分の考えた方法は以下の2つです。

1つめは、暗号化データをNASに入れる用いる方法です。
自宅ネットワーク内に存在する平文状態のNASデータに対し、
それを同一ネットワーク内の機器により、暗号化&リモートセグメントへのアップロード・同期処理する機器を用いて、リモートセグメントに設置したいNASへ、データをコピーする方法です。

(自宅ネットワーク network 2)--router2-(リモートセグメント network 1)-router1-wan
|                                |
|--(平文のNASデータ)        (暗号化データのNAS)
|
|--(NASデータを暗号化・同期処理する機器)
|
(その他の自宅の機器)

メリット
・VPNなどが攻撃されても、被害はリモートセグメントへのアクセスで済むし、
NASデータは暗号化されているので、大丈夫。

暗号化方法としては、自分でツールを作成するか迷っていますが、

データだけでなくファイル・フォルダ名の暗号化機能と、
データ毎に異なる鍵を使用する方法を用いるつもりです。
(KMSのように、うまくできないかな!?)

デメリット
・NASの総容量やファイル数が多いと、暗号化・同期処理が重くなる。
・もし、暗号化後のNASデータを同期処理するのに、SMBを使用している場合は、router2の外向きファイル共有ポートを開ける必要があり、平文状態のNASデータが漏洩する危険性が現れ、出口対策が無効化される。(ポートを変更すればいいだけ!?)

2つめは、二重リモートする方法です。

最も外側のリモート接続機器が攻撃されても、NASまでのアクセスがリモートソフトで多重化されていれば、より内部に近いリモートソフトからは総当たりやその他の不審なアクセスのログが残り、長時間の放置ではない限り、リモートセグメントにアクセスされる可能性は低いです。
特に、多重化するリモートソフトは、異なるソフト、かつ、異なるホストだと、悪用された脆弱性で連続的に侵入される事はない。

メリット
・短期間であれば、NASデータの存在するセグメントにアクセスされないため、NASデータを平文状態で設置できる。

デメリット
・異なるホストを用意する手間。これが物理的に異なるホストではなく、仮想ネットワーク内の仮想ホストで多重化しても、セキュリティ的に問題にならないなら、コストカットできる。

以上の方法を考えましたが、何か良い案がありましたら教えてください。

ps:
ポートフォワーディングとかも使えるかな？
webサーバの公開を一度もやったことがなく、
サーバ公開自体が今回が初めて。

補足情報（FW/ツールのバージョンなど）

まだ、セキュリティ的に怖くて始めていませんが、犠牲になるVPNなどのリモート認証機能をもたせる機器は、RPIでやるつもりですが、フィルタやウィルスチェックを考えると、余力のある普通のPCの方がよいかもしれません。