vmware esxi + pfsense + 2 подсети с гетцнером

У меня есть корневой сервер на hetzner, где я получил следующую настройку:

Основной IP-адрес (окно VMWare): 78.xxx.xxx.107 WAN IP (интерфейс PFSense WAN): 78.xxx.xxx.121 Подсеть 5.xxx.xxx.144/29

Текущая настройка PFSense следующая:

Интерфейсы: WAN - 78.xxx.xxx.121 PUBLAN - 5.xxx.xxx.145 NATLAN - 5.xxx.xxx.148

Под интерфейсом PUBLAN у меня подключено и работает 4 виртуальные машины. Каждая виртуальная машина доступна через xxx.146, xxx.147, xxx.149, xxx.150. Когда эти виртуальные машины обмениваются данными с компьютерами в Интернете, они отображаются с IP-адресом интерфейса WAN. Это приемлемо, но я бы предпочел, чтобы я мог иметь здесь 1:1 NAT, чтобы я назначил, например, 5.xxx.xxx.147 одному vm, это видно с этим IP, а также доступно на этом IP. (Надеюсь, вы понимаете, что я имею в виду здесь)

Под интерфейсом NATLAN у меня есть 4 дополнительных подключенных виртуальных машины. Однако это порт переадресации. У меня есть две виртуальные машины Windows разработки, поэтому, когда я перехожу к 5.xxx.xxx.147:3389, я подхожу к 192.168.56.2. Когда я RDP к 5.xxx.xxx.147:3390, я прихожу к машине на 192.168.56.3

Теперь вчера я заказал еще одну подсеть / 29. У меня сейчас тоже 5.xxx.xxx.16/29

Для этого я добавил новый vSwitch в VMWare и новый интерфейс на коробке PFSense. Я назвал этот интерфейс PUBLAN2. Я добавил тот же исходящий NAT здесь, что и в PUBLAN (за исключением источника и адреса nat ofcourse).

Интерфейс -> Источник WAN -> 5.xxx.xxx.16/29 Порт источника -> * Пункт назначения -> * Порт назначения -> * Адрес NAT -> Порт WAN адреса Порт NAT -> * Статический порт -> Случайный порт источника

Интерфейс -> Источник WAN -> 5.xxx.xxx.16/29 Порт источника -> * Пункт назначения -> * Порт назначения -> 500 NAT-адрес -> Порт WAN с адресом NAT -> * Статический порт -> Поддерживать статический порт источника

в правилах брандмауэра я добавил следующее: WAN -> Разрешить IPv4 * из любого источника и порта до 5.xxx.xxx.18 на любом порту, использующем любую GW PUBLAN2 -> Разрешить любой протокол из любого источника в любое место назначения

(Эти правила будут более строгими, если я заставлю вещи работать так, как я хочу, чтобы они работали).

Тем не менее, я не могу заставить его работать должным образом... Прежде всего, как и в случае виртуальных машин на PUBLAN, я хочу, чтобы 5.xxx.xxx.18 отображался как 5.xxx.xxx.18, а также был доступен на 5.xxx.xxx.18. (это 1:1 NAT?)

Кроме того, способ, которым я настроил это, VM 5.xxx.xxx.18 может подключиться к Интернету (я могу пинговать Google, и я могу подключиться через http и т. Д.). Виртуальная машина может также получить доступ к любой машине, которая находится за коробкой PFSense, и любая другая машина на других интерфейсах (NATLAN и PUBLAN) может получить доступ к виртуальной машине в 5.xxx.xxx.18.

Однако любые машины на другой стороне интерфейса WAN (например, мой домашний компьютер) не могут подключиться к 5.xxx.xxx.18.

Последние 24 часа я пытался понять это безрезультатно. Может кто-нибудь, пожалуйста, помогите мне найти решение (я), мне нужно, чтобы это заработало?

Спасибо!

/ Rickard