Além do NAT, o tráfego retornou para sua LAN? Você pode tentar usar um conexão de loopback com melhores resultados. Depois disso, ele deve ser roteado para sua VPN.
Eu tenho uma VPN site a site configurada com um fornecedor. Digamos que os pontos de extremidade do túnel sejam 192.1.1.101 do meu lado e 192.1.2.0/24 do lado do fornecedor (que são NATted para sua LAN de 10.x.x.x). Isso está funcionando bem, eu tenho um SonicWall e tenho uma configuração de política de VPN para que o tráfego para 192.1.2.x do meu lado passe pela VPN e atinja os hosts corretos.
O problema é que eu tenho um aplicativo (antigo, não modificável) que está tentando se conectar a 10.0.0.10 em sua rede. Se eu puder fazer isso passar pela VPN como se fosse 192.1.2.10, ela alcançaria o destino correto. O fornecedor não está disposto a adicionar 10.0.0.10 como um endpoint de túnel.
Eu tentei uma política de NAT para transformar o tráfego para 10.0.0.10 a 192.1.2.10, mas acredito que isso também não é enviado através da VPN, porque o NAT é aplicado ao tráfego quando ele sai do firewall e depois do ponto em que ele teria acionado a regra de roteamento da VPN. Basicamente eu quero pegar qualquer tráfego para 10.0.0.10, mudar seu destino para 192.1.0.10, e enviá-lo através do túnel VPN para 192.1.0.10. Eu não sou especialista em configuração de firewall, alguém pode me apontar na direção certa?
Além do NAT, o tráfego retornou para sua LAN? Você pode tentar usar um conexão de loopback com melhores resultados. Depois disso, ele deve ser roteado para sua VPN.
Eu ficaria a regra NAT para reescrever o destino é um bom começo. Para ser honesto, eu teria pensado que isso seria suficiente. Você tem certeza de que o tráfego está atingindo seu firewall? Eu suponho que você não tem uma rede 10.x.x.x local que esses pacotes estejam indo.
Outras coisas para tentar podem ser uma política de roteamento manual. Você pode enviar todo o tráfego 10.x.x.x através da sua interface de túnel VPN. Além disso, tente definir a VPN como a interface de saída nessa regra NAT.