NAT é o seu problema. A menos que você esteja usando NAT um-para-um, precisará originar tráfego apenas de um lado. Mesmo com NAT um-para-um, você precisará fazer ping do lado de fora usando o endereço traduzido.
Eu tenho uma instância do pfSense com duas interfaces de rede configuradas entre uma LAN e uma WAN:
192.168.1.0/24 (WAN) <-> (192.168.1.100) pfSense (10.0.1.100) <-> 10.0.1.1/24(LAN)
Por simplicidade, permiti todo o tráfego nas regras de filtragem.
Isso funciona bem e uma máquina na LAN com pfSense (10.0.1.100) como o gateway pode se conectar a hosts na WAN:
<10.0.1.5> $ ping 192.168.1.10
64 bytes from 192.168.1.10: icmp_seq=0 ttl=51 time=11.753 ms
No entanto, uma máquina na WAN com pfSense (agora 192.168.1.100) como o gateway não pode se conectar a hosts na LAN:
<192.168.1.10> $ ping 10.0.1.5
*timeout*
As regras de firewall permitem todo o tráfego em ambas as direções.
O tcpdump mostra que os pacotes chegam na interface WAN corretamente, mas nunca são enviados na interface da LAN.
Existe uma função do pfSense que proíbe o roteamento da WAN para a LAN? O que deve ser feito para permitir que máquinas na WAN façam o roteamento para a LAN.
Estou ciente das implicações de segurança. Este é um exemplo simplificado.
Tags networking routing pfsense