Muito para resolver, mas deixe-me tentar. Primeiro: se todos os hosts em questão (VMs) usarem a mesma VM pfSense como seu gateway padrão, o pfSense saberá rotear o tráfego nas duas direções. Em seguida: você adicionou regras de firewall para permitir o tráfego? O pfSense tem algumas regras padrão para (1) WAN + (1) LAN permitir todas as saídas de LAN, mas qualquer interface OPT que você adicionar vem com uma regra de Negação padrão. Se o tráfego for permitido, uma solicitação explícita para um host / serviço específico deve funcionar, mas saiba que o tráfego de difusão (publicidade de serviço / descoberta de rede) será bloqueado. Sub-redes separadas = domínios de broadcast separados. Para a transferência de arquivos para o seu servidor web, eu recomendo que você considere o sftp (ftp sobre ssh) em vez do NFS em seu host acessível pela Internet, a menos que tenha certeza de que restringiu o acesso somente de sua LAN. Quanta segurança você recebe ao colocar os hosts em sub-redes separadas depende do que você configura nas regras de firewall do pfSense: se você permitir tudo, então você bloqueou apenas a descoberta automática de rede: basicamente segurança através da obscuridade. O benefício de segurança ocorre quando você permite apenas as comunicações necessárias. Nesse caso, espero que você permita conexões de sua 'LAN' para o host da Web, mas não permita nada iniciado na direção inversa. A menos que você PRECISA de tudo isso em uma caixa, para uma configuração inicial, eu quero uma caixa dedicada para o firewall pfSense, em vez de expor uma interface física ProxMox à Internet. Eu não estou dizendo que você não pode fazer isso. Eu tenho. Eu tenho uma caixa Debian instalada em um datacenter rodando KVM / QEMU com pfSense em uma VM rodando OpenVPN, e algumas VMs LAN e DMZ: basicamente era uma LAN de escritório do cliente, e elas eram pequenas o suficiente para fechar seus tijolos e argamassa e agora todo mundo trabalha em casa. Foi um exercício divertido, mas acho que não vou fazer de novo.