1. Протокол - достаточно только TCP
2. Если Zen не является шлюзом по умолчанию для .27, то необходима галочка на "Заменить адрес источника".
Так, вроде всё правильно.
Ну, для диагностики ещё можно посмотреть, что происходит на .27 - приходят ли пакеты, и что с ними происходит далее.
3. Да, ещё рекомендую посмотреть на правила доступа из локалки на Zen - при подмене IP необходимо, чтобы доступ был.