Otavio bom dia meu nobre.
O Firewall por padrão (pelo menos a maioria) não fazem nat de pacotes de origem a menos que você configure (Snat)
Isso evita técnicas de Spoofing, utilizadas para bular firewalls. As primeiras invasões de Firewall detectadas aconteceram usando Spoofing. O sujeito simula um ip interno da sua rede e passa lotado pelo Firewall. Por isso os pacotes oriundos da rede externa que possuam endereços de IP privados são descartados.
Realmente o conceito correto é usar o seu dns interno para fazer isso. Aquele modo simples dentro do DNS do ADDS. Botao direito no servidor adicionar nova zona primaria etc etc. Depois é só criar hosts na unha com o ip dos seus serviços.
Caso queira resolver pelo Firewall, há como. Mas isso irá expor sua rede interna a ações de Spoofing, como falado anteriormente. É aquele popular, não faça isso em casa. Então vamos lá.
Configurando o Snat.
Vá em Firewall > Redirecionamento de Porta / Nat > Source Nat
Em origem deixe subrede/ip, e informe os ips que quer que acesse o serviço internamente pelo nome do domínio (caso queira que toda a rede acesse coloque o endereço da rede 10.0.x.x/24 para quem usa uma CIDR 24 por exemplo).
Em destino deixe marcado “Zona/Vpn/Ligado a” e marque a rede verde
Serviço qualquer
Protocolo qualquer
Nat nat
to source address auto
Crie a regra e pronto. Você configurou o Snat na sua rede interna.
Agora é só acessar seu serviço pelo nome.
Abraços.