Você precisa ter uma rota para seu servidor NAS que percorra a VPN. Ter a rota padrão na VPN é aparentemente uma maneira de conseguir isso (depende dos detalhes da sua configuração de rede e ambiente).
Sim, "use somente para recursos locais" configura a presença da rota de detenção.
Geralmente, você obtém rotas específicas automaticamente para alcançar os recursos na VPN. Se isso não acontecer, pode ser um erro de configuração no servidor VPN, do seu lado ou um bug.
Independentemente de funcionar automaticamente, você também pode adicionar rotas manuais e estáticas. Descubra o endereço IP que você deseja acessar ( ping NAS-SERVER ou pergunte ao seu administrador). Possivelmente, você não adiciona apenas uma rota a esse endereço IP, mas uma sub-rede inteira (como 10.0.0.0/8). Você pode configurar isso na sua GUI do NetworkManager. Depois, reative sua conexão VPN.
Verifique a atribuição de rotas com ip route .
Você também pode tentar traceroute -n NAS-SERVER para ver a maneira que seus pacotes IP levam.