pfSense NAT на сервер во второй подсети LAN за вторым внутренним маршрутизатором (не работает)

У меня есть брандмауэр/маршрутизатор pfSense, который открывает доступ к некоторым службам через мой публичный IP-адрес.

Это работает нормально, пока служба находится в основной подсети LAN ( 192.168.1.0/24), назовем ееЛАН-А.

Например, это работает:

public_ip:443 -> pfSense (NAT) -> 192.168.1.20:5443 (reverse proxy)

У меня дополнительно есть вторая локальная сеть 192.168.88.0/24, назовем ееЛВС-Б, который находится заМикротикмаршрутизатор на 192.168.1.111. В pfSense у меня есть статический маршрут для сети, 192.168.88.0/24указанный 192.168.1.111как шлюз для нее.

ОтЛАН-АТеперь я могу подключаться к хостам вЛВС-Б, например 192.168.88.10, прозрачно, то же самое, что и для хостов вЛАН-А(кроме странной проблемы сssh упомянуто здесь, все еще не решено). (Хосты наЛВС-Бтакже может подключаться к Интернету в обычном режиме, потому чтоМикротикмаршрутизатор указывает pfSenseустройство 192.168.1.1в качестве шлюза для своих клиентов).

Пока все хорошо. Но теперь я хочу выставить услугу наЛВС-Б, скажем, 192.168.88.10:10000через NAT на моем внешнем IP. Поэтому я делаю то же самое, что и обычно:

public_ip:10000 -> pfSense (NAT+Rule) -> 192.168.88.10:10000

Однако это не работает (и nmapизвне порт отображается как filtered, тогда как внутри локальной сети он находится open). Так что, похоже, логика NAT не знает о моем статическом маршруте?

Это кажется каким-то логичным, поскольку статический маршрут «живет» в области моего локального интерфейса ( LANBRIDGE) pfSense и межсетевого экрана (NAT) между WANи LANBRIDGE, поэтому он, вероятно, не знает, что соединение с 192.168.88.0/24проходит через 192.168.1.111. Но как заставить это работать?