Роман Молчанов

IMHO, вопрос к интернет-шлюзу, а не к Астеру. Маппинг и трансляция адресов.
Клиент телефонии может быть за двумя NAT'ами от сервера АТС и всё будет хорошо, если правильно настроена маршрутизация.

В филиале обязательно нужен свой домен? Почему бы не использовать в филиале ReadOnly контроллер домена того же домена, что развернут в головном офисе?
Почему бы не взять IPSec-тунель? Он, установив соединение между двумя шлюзами, объединяет равнозначные локальные сети), статические маршруты прописываются на интернет-шлюзе, и клиентам уже всё равно к ресурсам в какой из сетей подключаться.
Главное, чтобы на DNS-ах на каждой из сторон были прописаны необходимые доменные зоны, но это как раз и решается развертыванием ReadOnly DC со своимом DNS.

Если же необходим именно отдельный домен в филиале, то у клиента, который переедет из одной сети в другую, сеть надо настроить с Main Gateway той сети, в которую он приехал, а DNS-ы оставить от его же домена (через ipsec они будут доступны, если gateway даст маршрут до них).

Если я правильно понял, то проблемы две:
1) адресация; тут либо поднимать локальный DNS, либо ручками файл hosts на каждой машине отдельно. Не понимаю, чем DNS вредит безопасности (только если перехват и подмена записей, но тогда в сети большие проблемы, и дело не только в DNS);
2) маршрутизация между подсетями: нужен узел, который будет выступать в роли маршрутизатора между подсетями, и добавление статических маршрутов на конечных устройствах.

Скорее всего на сервере работает fail2ban и при вводе неверного пароля он разрывает соединение

IMHO, что бы ни говорили крутые специалисты, но в первую очередь всё упирается в ресурсы: деньги на железо и лицензии, место для размещения всего оборудования. Если есть в наличии или возможность приобрести только один сервер + одна лицензия на ОС, то естественно всё придётся ставить на одном, если есть ресурсы, то вариантов много.

DHCP сервис малотребовательный, особенно для небольших сетей. Виндовый по соседству с AD/DNS меня ещё ни разу не подводил, но ни разу не подводил также и DHCP на базе pfSense или домашних роутеров (Zyxell/Asus).
Если почтовый сервер находится в локальной сети, то для него я бы посоветовал выделить отдельную машину (хотя бы виртуальную) и отдельный IP-адрес, чтобы зараженный клиентский компьютер или личный смартфон сотрудника в локальной сети не подставлял адрес под антиспам фильтры. Дополнительный адрес у многих провайдеров стоит копейки.
В целях экономии файл-сервер можно прикрутить на контроллере, но может возникнуть неприятная ситуация с закончившимся свободным местом, бэкапами или вредоносом из пользовательской папки. Если есть возможность: на виртуалку или на отдельную железку.

S1 имеет адрес в обеих подсетях? Тогда:

netsh interface portproxy add v4tov4 listenaddress=ip_address_s1 listenport=443 connectaddress=ip_address_s2 connectport=8053
ip_address_s1 должен быть в подсети, доступной компьютерам,
ip_address_s2 должен быть в подсети, доступной этим двум серверам,
командная строка должна быть запущена с правами администратора