A regra não é necessária se você ajustar as rotas corretamente .
Os clientes que conectam a partir de redes avulsas recebem IP da rede 10.0.2.0/24, e as máquinas de sua rede não sabem como alcançar essa rede, por isso entregam o pacote de retorno ao proxy, que é o gateway da sua rede.
Assim, bastaria que o seu proxy fosse também o servidor OpenVPN, ou pelo menos, que tivesse rota para a rede 10.0.2.0/24, pra funcionar. Como ele não tem, ele manda esses pacotes pro gateway dele (a Internet), onde eles se perdem.
A função do NAT é remendar esse erro de roteamento, substituindo o endereço de rota desconhecida por outro roteável. Mas deve ser visto assim, como um remendo, um quebra-galho, não como solução definitiva.
O que acontece com os clientes na filial é ainda um pouco pior: sua regra de NAT não os leva em conta, pois apesar de entrarem pela VPN, esses pacotes não se originam na rede 10.0.2.0/24, mas sim na rede 192.168.1.0/24, assim eles não sofrem NAT. Por isso em disse antes que sua regra de NAT está errada. Agora, com um pouco mais de informação, vejo que ela não está errada, e sim incompleta.
Estes dois comandos no seu servidor proxy devem resolver seu problema:
sudo route add -net 10.0.2.0/24 gw 192.168.100.70
sudo route add -net 192.168.1.0/24 gw 192.168.100.70
Enviado do meu smartphone