Olá Amigo,
Se é possivel via IPv6, eu faria o seguinte no seu caso:
1- Sim, você está certo sobre as vulnerabilidades, se você abrir para a internet, pessoas vão escanear você, achar a porta do seu serviço de SSH, e começar a tentar acessar seu servidor, porém é possivel você deixar bem seguro, primeiro, use uma porta alta de ssh, diferente da default, exemplo 6022, e configure o fail2ban no Debian, para se errarem a senha 3x, ele bane o IP de origem usando o Iptables, isso deixa seu servidor muito seguro ja que para quebrar a senha dele precisariam tentar quebrar a senha muitas vezes com um dicionário. (mas use sempre versões atualizadas do sshd, para que não encontrem vulnerabilidades que consigam explorar de primeira). Ja com isso eu garanto que ficaria bem seguro, já que poucos hackers exploram IPv6 (Maioria em empresas), + portas altas pois o scan demora muito mais, + a proteção do fail2ban fica bem seguro. Mas no firewall você libera somente esse serviço para esse servidor, e bloqueia o restante.
Agora respondendo sua pergunta, tendo 2 roteadores, com 2 redes internas diferentes, funciona exatamente como você quer, se conseguirem explorar o roteador que está aberto,(Mas lembre-se, vc vai abrir somente a porta e o serviço que vc quer, não vai abrir "tudo") mesmo se conseguirem explorar, não vão conseguir pular para sua outra rede. Quando vc sofrer varredura somente 1 vai responder.
Mas não se preocupe com scans, normalmente eles são pacotes SYN para diversas portas, depois que descobrem que a porta está aberta/listening, eles iniciam testes para tentar quebrar, e pra isso usam dicionarios de senhas na maioria das vezes, só um fail2ban ja aumenta bastante sua segurança, logo, se precisar gastar uma grana para proteger sua casa, use apenas 1 roteador mesmo, e crie alguma automação para lhe enviar e-mail sempre que alguém conseguir acesso ao ssh do servidor, algo do tipo. Abraços.