Umm... Con el cortafuegos conectado es difícil saber exactamente cual es el problema.

Si las pruebas las haces entre los dos mismos equipos, prueba sin el cortafuegos primero... Si no no sabrás si tu problema es de rutado o de bloqueo de puertos.

En el primer caso, debería ser simple de solucionar. Si llegas desde el equipo de la central al de la sede, parece obvio que las rutas están correctas (sabe el camino a seguir desde central a la sede para llamar y el camino a seguir desde la sede a central para responder).

En el segundo caso (que podría ser), el cortafuegos está parando todas las conexiones entrantes a tu LAN desde el exterior... Deberás probar:

a) Aceptar todos los accesos desde el exterior a tu LAN provenientes (fuente o source) de la red de la sede, para todos los protocolos (si aceptas sólo el TCP, el ICMP del traceroute/ping no te funcionará, por ejemplo).

b) Aceptar todo lo que entre en tu LAN, venga de donde venga, para hacer la prueba (nada recomendable, pero te ayudaría a saber si el problema está ahí).

En principio parece que te falta una regla en el cortafuegos que permita tráfico entrante en la LAN (peticiones desde el exterior a la LAN) que vengan de la subred remota.

Yo aceptaría todo el tráfico desde esa subred PARA EMPEZAR (y hacer las pruebas)... Posteriormente, si eso te funciona, puedes restringir el acceso a determinados servicios (SMB, web, DNS, etc).

Como te digo, teniendo un elemento más enmedio (el cortafuegos) es más difícil adivinar el problema... En cualquier caso, puedes activar el log del cortafuegos para ver si está parando/denegando algún tráfico, lo que te ayudará a depurar las reglas.