Meraki MXのOne-Armed構成 (Passthrough or VPN Concentrator Mode)では、 MXと同じセグメントにServer等を設置していると非対称ルーティングが発生します。

背景を把握しやすいように、発信元によって通信フローが異なる点を整理してみます。

One-Armed構成のMXと同一セグメントにServerを設置した場合は、Serverから他拠点へのAuto VPNを介した通信はDefault Gatewayを介して行われます。
(なお、Serverに他拠点宛のStatic RouteをMX宛に個別に切る方法もありますが、運用性が低下するので考慮対象から除外します。)

対照的に、他拠点からのAuto VPNを介した通信は、Oner-Armed構成のMXと同一セグメントに宛先が存在するとスイッチング処理されます。

よって、Default Gatewayを介した通信と、スイッチング処理が混在して通信フローが変わってしまいます。 そして、Default Gatewayになっているネットワーク機器がFirewallの場合は、非対称ルーティングとなり通信がドロップされてしまう可能性があります。

そのため、One-Armed構成のMXは専用サブネットに設置します。 専用サブネットにMXを設置すると、MXのAuto VPNを介する他拠点への通信は、UplinkにあるL3 Deviceを必ず通るようになるため非対称ルーティングを回避できます。

補足ですが、Firewallで非対称ルーティングを許容するとセキュリティ レベルが低下します。 また、非対称ルーティングを許容してしまうと、通信フローの考慮が生まれるためトラブルシューティングが難しくなります。