O problema está em obter uma resposta da LAN do cliente, e por isso sim, você também precisa usar o NAT para a LAN cliente.
Deixe-me explicar:
Os nós na sua LAN têm o seu gateway como gateway padrão.
Assim, qualquer tráfego deles, seja para a rede do cliente (10.0.0.0/8) ou o mundo mais amplo (0.0.0.0/8) vai para ele.
O tráfego para o mundo em geral é, então, NAT na Internet.
O tráfego para a LAN do cliente é encaminhado como está (suponho que o encaminhamento esteja funcionando e que o NAT esteja funcionando).
Assim, um pacote de um nó na sua LAN interna, digamos que o IP é 192.168.1.200, vai para o seu gateway e é encaminhado para a LAN do cliente. No entanto, o endereço de origem ainda é 192.168.1.200.
A máquina cliente recebe isso e tenta responder, para 192.168.1.200.
A menos que as máquinas LAN clientes tenham rotas definidas para 192.168.1.0/24, ou seu gateway padrão seja capaz de encaminhar os pacotes para seu gateway, eles não poderão rotear.
Com o NAT ativado, no gateway, o endereço de origem 192.168.1.200 é NAT para seu endereço de gateway da LAN do cliente, para o qual os nós da LAN do cliente podem responder, onde serão redirecionados pelo gateway e retornados.
Espero que esteja claro o suficiente e ajude seu problema.