Da du vermutliche mit VPN eine S2S meinst:
Wird das Client-Netz getunnelt, oder lediglich das Netz, in dem sich der DC befindet ?
Ja, als SRC, muss deine LAN-Subnetz stehen, nicht die Interface-IP des LAN-Subnetzes (Was vermutlich dein Gateway für besagtes LAN ist). Wenn es bei der Interface-IP bleiben muss (Warum auch immer), benötigst du ein S-NAT.
Durch die VPN ist meine Anfrage zwecks D-NAT vermutlich obsolet -> Kann man dir aber erst verbindlich sagen, wenn wir mehr Infos über die Netzwerkinfrastruktur haben.
Nein, ich meine nicht die Regeln. Ich meine ein Firewall-Auszug an Verbindungen, die durch deine Firewall gehen.
Sollte das Standarmäßig nicht aktiviert sein, würde ich es dir empfehlen für Troubleshooting-Zwecks zu aktiveren (allow, drop und reject).