Obrigado a todos que forneceram a solução de problemas. Aqui estava a solução para o meu problema:
O firewall do escritório remoto foi configurado com configurações conflitantes. Por um lado, deveria adquirir e distribuir endereços IP do meu servidor DHCP corporativo através do firewall. Por outro lado, foi configurado para fornecer endereços IP locais em caso de falha no túnel.
Após mais investigação, concluí que os clientes remotos perderam seus endereços IP precisamente 8 horas após a última vez que reiniciei o firewall. 8 horas é 28.800 segundos ou a duração padrão de um túnel IPSec.
Basicamente, a cada 8 horas, os dois firewalls renegociariam sua criptografia. Essa renegociação levaria mais de dois segundos, e o firewall remoto pensaria que o túnel estava quebrado e tentaria distribuir um endereço IP local para seus clientes. A negociação do túnel seria bem sucedida alguns segundos depois, o túnel seria strong em ambas as extremidades, mas os clientes remotos teriam endereços IP inválidos.