Wenn Du sicher gehen willst, dass der Windows Server übers Internet nicht erreichbar ist, kannst Du auch dessen Internet Netzwerkadapter einfach deaktivieren (nicht über RDP, sondern über die VNC SCP GUI Anzeige) und nur den VLAN Netzwerkadapter aktiviert lassen. Dann KANN gar nichts mehr versehentlich ins Internet und Du könntest die Windows Firewall deutlich relaxter konfigurieren, da davor ja noch die pf/OPNsense hängt.
Auch an dieser Stelle sei wieder der Hinweis auf https://www.zerotier.com/ zu geben, das ein controllerbasiertes VPN ist und mit Situationen wie dieser sehr sehr gut zurechtkommen würde, sogar ohne Portweiterleitung oder Firewall-VPN.