ESXi + pfSense - интерфейс прямого управления NAT ssh

Question

вопрос в конце.

Ситуация: (ips заменен вымышленными примерами)
У меня есть (удаленный) выделенный сервер, с 1 NIC, 2 IP.
Один IP (например, 5.9.1.1) привязан к MAC физического NIC, другой (5.9.100.1) назначен «случайному» MAC.
Нет фильтрации портов или NAT присутствует на уровне удаленной сети.

ESXi (v5.5) профиль безопасности
Брандмауэр включен.
Все входящие соединения, кроме SSH, DHCP-клиента, DNS-клиента, ограничены только доступом 127.0.0.1.
Все исходящие соединения, кроме DHCP-клиента, httpClient и DNS-клиента, ограничены доступом 127.0.0.1.
Сервис SSH-сервера включен, только с авторизованным доступом к ключу (без интерактивного входа в систему).

vSwitch0 (названный WAN):

• Привязан к физическому адаптеру vmnic0
• Порт VMKernel для сети управления (получает IP-адрес 5.9.1.1)
• Порт виртуальной машины для pfSense (получает 5.9.100.1, переопределяя его MAC)

vSwitch1 (по имени LAN):

• Нет физического адаптера
• Порт виртуальной машины для pfSense (IP-адрес 192.168.174.1 - DHCP включен)
• Порт виртуальной машины для Debian Live CD (получает 192.168.174.10 от pfSense DHCP)
• Порт виртуальной машины для Windows 2012R2 (получает 192.168.174.11 от pfSense DHCP)
• Порт VMKernel для сети управления (получает 192.168.174.12 от pfSense DHCP)

Конфигурация pfSense:

pfSense настраивается с помощью обычного мастера. WAN = vSwitch0, LAN = vSwitch1. DHCP-сервер включен.

NAT (все это на вкладке переадресации портов):

• Общие настройки
  Отражение NAT для переадресации портов: Отключить
  Автоматический исходящий NAT для отражения: отключено

• RDP в Windows2012R2
  WAN-интерфейс, прото TCP
  src *, src port *
  Адрес назначения: сеть WAN, порт назначения: 3389
  NAT IP 192.168.174.11, порт NAT 3389

• SSH в Debian Live
  WAN-интерфейс, прото TCP
  src *, src port *
  Адрес назначения: сеть WAN, порт назначения: 2222
  NAT IP 192.168.174.10, порт NAT 22

• SSH к хосту ESXi
  WAN-интерфейс, прото TCP
  src *, порт src * Адрес назначения: WAN net, порт назначения: 22
  NAT IP 192.168.174.12. NAT порт 22

Проблема / Вопрос:
Пересылка RDP и SSH в Debian работает отлично. Я могу подключиться к обоим из моей домашней сети.
Однако, если я пытаюсь подключиться из моей домашней сети к 5.9.100.1:22, мое соединение не устанавливается (время ожидания истекло).

Работает SSH из дома до 5.9.1.1:22 (я также использую туннели SSH для доступа к vSphere).
Работает SSH с Windows2012R2 VM 192.168.174.11 на хост ESXi 192.168.174.12:22.

Учитывая, что NAT-правило Debian SSH работает, я довольно озадачен тем, почему NAT-правило ESXi не работает.
Однако, так как я новичок в ESXi и pfSense, я также не уверен, где правильно диагностировать эту проблему.

Догадки
Учитывая, что ESXi по-прежнему имеет «доступ» к WAN-порту (на данный момент - предотвращение блокировки), пропуская pfSense, он может просто выбрать неправильный маршрут для отправки трафика обратно в мою домашнюю сеть.
Если так: могу ли я что-нибудь сделать, чтобы смягчить эту проблему с текущей настройкой? Если нет - я мог бы просто настроить OpenVPN-сервер на pfSense и полностью решить проблему с переносом портов.

Спасибо!