OPNsense auto nat между двумя интерфейсами

Возникли проблемы с настройкой ONPSense.

объяснение
Я только что настроил OPNSense Fw, который имеет 3 интерфейса: WAN, LAN, ZRT

LAN: 192.168.101.1/23 (DHCP-сервер с 192.168.101.50 до 192.168.101.150) Адреса на 192.168.100.0/24 не должны выходить за пределы Адреса на 192.168.101.0/24 - это abels для выхода на улицу

WAN: 192.168.1.x/24 (ip получен через DHCP)

ZRT: логический int, нулевой VPN, 192.168.103.176/24

проблема
Забывая о wan int, моя проблема - между ZRT и локальными сетями.
Сеть 192.168.100.0/24 состоит из ПЛК, которые не имеют gw. Сказал, что, я ожидаю, для любого вызова ICMP от хоста 192.168.103.0/24 к любому хосту 192.168.100.0/24, тайм-аут.
Но это работает.
Все работает хорошо, потому что LAN int маскирует трафик ZRT, отправляя ICMP как 192.168.101.1 в локальную сеть вместо исходного 192.168.103.x ip.
Тогда зачем делать auto s-nat?

При поиске в правилах NAT я ничего не могу найти по этому поводу, кажется, что OPNSense только автоматически генерирует правила WAN nat, которые можно деактивировать, но ничего о моем s-nat.

Я что-то пропустил?

Спасибо за ваше время.
Хил.