Mi recomendación es que, salvo que quieras poner varios firewalls o complicar mucho tu extranet, con una IP pública vas sobrado.

Si te dan 5 es porque "puedes" conectar 5 puntos diferentes de servicio a Internet... Eso implica que tendrás que securizar y mantener 5 nodos de acceso enrtante diferentes. Pero que "puedas" no significa que "tengas" o que "debas".

Plantéate cuantos servicios vas a dar a Internet, al gran público, y sin que necesiten una VPN para conectarse a ti (por ejemplo, un servidor web de acceso público). Si necesitas muchos y del mismo tipo, entonces puede que necesites más de una IP pública (en realidad puedes usarlas todas si quieres, pero no me parece lo mejor...)

¿Que necesitas? Pues como mínimo un cortafuegos conectado a una IP pública (o un router con esa IP pública y un cortafuegos detrás... Y detrás el resto de tu red).

La configuración básica es igual que con un ADSL, sólo que cuentas con una mejor conexión... Pero la filosofía no varía.

Debes controlar los puntos de acceso a tu LAN desde el exterior, y viceversa, debes mantener aparte y contralada la DMZ, en caso de que la necesites, y el mismo sistema de proxy,firewall te vale...

Yo no me complicaría. Para empezar, simplemente usaría un router al que le daría una de las IPs fijas que tienes, conectado a un firewall/proxy (con dos tarjetas de red) y éste separando la LAN del router.

Mira a ver si te va mejor la cosa... A posteriori puedes incluir (en el mismo firewall/proxy si quieres o en otra máquina a la que llegues con NAT) un servidor de túneles VPN para conexiones tipo "road warriors".