По наличию значения в этом поле pfSense определяет, что данный интерфейс - WAN. Соответственно создает правила в Outbоund NAT, когда он в автоматическом режиме, и в Firewall.

Так я и говорю, что значение в поле было, а правил не было! После убирания значения, и последующего возвращения его на место, правила появились.

Так они были заполнены… Сейчас переключил на "none" и обратно с сохранением настроек, и правила появились! Что это было вообще?

По наличию значения в этом поле pfSense определяет, что данный интерфейс - WAN. Соответственно создает правила в Outbоund NAT, когда он в автоматическом режиме, и в Firewall.

Поставил в чистую c 2 интерфейсами (WAN и LAN) — NAT и разрешающие для локальной сети правила создались.

Сейчас тоже попробовал, с 4 интерфейсами - тоже создались.

@rubic:

В настройках WAN интерфейсов поле 'IPv4 Upstream Gateway' заполните.

Так они были заполнены… Сейчас переключил на "none" и обратно с сохранением настроек, и правила появились! Что это было вообще?

До провайдеров пакеты даже не доходят. Проверяли на их стороне.

Проверять можно и на своей воспользовавшись tcpdump.
@PbIXTOP:

Завтра попробую переставить в чистую 2.2.5 посмотрим что выйдет.

Поставил в чистую c 2 интерфейсами (WAN и LAN) — NAT и разрешающие для локальной сети правила создались.

Сперва разберитесь с NAT — при чистой установке его просто нету и естественно провайдер будет блокировать пакеты с IP адресами вашей внутренней сети.

До провайдеров пакеты даже не доходят. Проверяли на их стороне.

зы Что за косяк с форумом? Сообщение не отредактировать.

И не видно почему-то в чистой установке правила для второго интернета

Виноват. Действительно был выбран только первый интернет.
Но общей картины это не меняет, в выводе меняется только одна строка

pass in quick on vmx1 route-to (vmx2 10.1.1.9) inet all flags S/SA keep state label "USER_RULE"

следует читать как

pass in quick on vmx1 route-to { (vmx2 10.1.1.9), (vmx3 10.1.1.1), (vmx3 10.1.1.1), (vmx3 10.1.1.1), (vmx3 10.1.1.1) } round-robin inet all flags S/SA keep state label "USER_RULE"

На машине c установленной с нуля 2.2.5:

$ pfctl -sn
no nat proto carp all
nat-anchor "natearly/*" all
nat-anchor "natrules/*" all
no rdr proto carp all
rdr-anchor "relayd/*" all
rdr-anchor "tftp-proxy/*" all
rdr-anchor "miniupnpd" all

$ pfctl -sr | grep -v inet6
scrub on vmx2 all fragment reassemble
scrub on vmx0 all fragment reassemble
scrub on vmx1 all fragment reassemble
scrub on vmx3 all fragment reassemble
anchor "relayd/*" all
anchor "openvpn/*" all
anchor "ipsec/*" all
block drop in log quick inet from 169.254.0.0/16 to any label "Block IPv4 link-local"
block drop in log quick inet from any to 169.254.0.0/16 label "Block IPv4 link-local"
block drop in log inet all label "Default deny rule IPv4"
block drop out log inet all label "Default deny rule IPv4"
block drop log quick inet proto tcp from any port = 0 to any label "Block traffic from port 0"
block drop log quick inet proto udp from any port = 0 to any label "Block traffic from port 0"
block drop log quick inet proto tcp from any to any port = 0 label "Block traffic to port 0"
block drop log quick inet proto udp from any to any port = 0 label "Block traffic to port 0"
block drop log quick from <snort2c> to any label "Block snort2c hosts"
block drop log quick from any to <snort2c> label "Block snort2c hosts"
block drop in log quick proto tcp from <sshlockout> to (self) port = ssh label "sshlockout"
block drop in log quick proto tcp from <webconfiguratorlockout> to (self) port = https label "webConfiguratorlockout"
block drop in log quick from <virusprot> to any label "virusprot overload table"
block drop in log on ! vmx2 inet from 10.1.1.8/29 to any
block drop in log inet from 10.1.1.12 to any
block drop in log on ! vmx0 inet from 10.255.21.0/24 to any
block drop in log inet from 10.255.21.233 to any
block drop in log on ! vmx1 inet from 10.21.1.202 to any
block drop in log inet from 10.21.1.202 to any
block drop in log on ! vmx3 inet from 10.1.1.0/29 to any
block drop in log inet from 10.1.1.4 to any
pass in on lo0 inet all flags S/SA keep state label "pass IPv4 loopback"
pass out on lo0 inet all flags S/SA keep state label "pass IPv4 loopback"
pass out inet all flags S/SA keep state allow-opts label "let out anything IPv4 from firewall host itself"
pass in quick on vmx0 proto tcp from any to (vmx0) port = https flags S/SA keep state label "anti-lockout rule"
pass in quick on vmx0 proto tcp from any to (vmx0) port = http flags S/SA keep state label "anti-lockout rule"
anchor "userrules/*" all
block drop in quick on vmx0 inet from any to ! 10.255.21.233 label "USER_RULE"
pass in quick on vmx1 inet from any to <negate_networks> flags S/SA keep state label "NEGATE_ROUTE: Negate policy routing for destination"
pass in quick on vmx1 route-to (vmx2 10.1.1.9) inet all flags S/SA keep state label "USER_RULE"
anchor "tftp-proxy/*" all</negate_networks></virusprot></webconfiguratorlockout></sshlockout></snort2c></snort2c>

На машине с установленной с нуля 2.2.4, обновлённой до 2.2.5:

$ pfctl -sn
no nat proto carp all
nat-anchor "natearly/*" all
nat-anchor "natrules/*" all
nat on vmx3 inet from 127.0.0.0/8 to any port = isakmp -> 10.1.1.3 static-port
nat on vmx3 inet from 10.255.21.0/24 to any port = isakmp -> 10.1.1.3 static-port
nat on vmx3 inet from 10.24.1.0/24 to any port = isakmp -> 10.1.1.3 static-port
nat on vmx3 inet from 127.0.0.0/8 to any -> 10.1.1.3 port 1024:65535
nat on vmx3 inet from 10.255.21.0/24 to any -> 10.1.1.3 port 1024:65535
nat on vmx3 inet from 10.24.1.0/24 to any -> 10.1.1.3 port 1024:65535
nat on vmx2 inet from 127.0.0.0/8 to any port = isakmp -> 10.1.1.11 static-port
nat on vmx2 inet from 10.255.21.0/24 to any port = isakmp -> 10.1.1.11 static-port
nat on vmx2 inet from 10.24.1.0/24 to any port = isakmp -> 10.1.1.11 static-port
nat on vmx2 inet from 127.0.0.0/8 to any -> 10.1.1.11 port 1024:65535
nat on vmx2 inet from 10.255.21.0/24 to any -> 10.1.1.11 port 1024:65535
nat on vmx2 inet from 10.24.1.0/24 to any -> 10.1.1.11 port 1024:65535
no rdr proto carp all
rdr-anchor "relayd/*" all
rdr-anchor "tftp-proxy/*" all
rdr-anchor "miniupnpd" all

$ pfctl -sr | grep -v inet6
scrub on vmx3 all fragment reassemble
scrub on vmx0 all fragment reassemble
scrub on vmx1 all fragment reassemble
scrub on vmx2 all fragment reassemble
anchor "relayd/*" all
anchor "openvpn/*" all
anchor "ipsec/*" all
block drop in log quick inet from 169.254.0.0/16 to any label "Block IPv4 link-local"
block drop in log quick inet from any to 169.254.0.0/16 label "Block IPv4 link-local"
block drop in log inet all label "Default deny rule IPv4"
block drop out log inet all label "Default deny rule IPv4"
block drop log quick inet proto tcp from any port = 0 to any label "Block traffic from port 0"
block drop log quick inet proto udp from any port = 0 to any label "Block traffic from port 0"
block drop log quick inet proto tcp from any to any port = 0 label "Block traffic to port 0"
block drop log quick inet proto udp from any to any port = 0 label "Block traffic to port 0"
block drop log quick from <snort2c> to any label "Block snort2c hosts"
block drop log quick from any to <snort2c> label "Block snort2c hosts"
block drop in log quick proto tcp from <sshlockout> to (self) port = ssh label "sshlockout"
block drop in log quick proto tcp from <webconfiguratorlockout> to (self) port = https label "webConfiguratorlockout"
block drop in log quick from <virusprot> to any label "virusprot overload table"
block drop in log on ! vmx3 inet from 10.1.1.0/29 to any
block drop in log inet from 10.1.1.3 to any
block drop in log on ! vmx0 inet from 10.255.21.0/24 to any
block drop in log inet from 10.255.21.232 to any
block drop in log on ! vmx1 inet from 10.21.1.0/24 to any
block drop in log inet from 10.21.1.201 to any
block drop in log on ! vmx2 inet from 10.1.1.8/29 to any
block drop in log inet from 10.1.1.11 to any
pass in on lo0 inet all flags S/SA keep state label "pass IPv4 loopback"
pass out on lo0 inet all flags S/SA keep state label "pass IPv4 loopback"
pass out inet all flags S/SA keep state allow-opts label "let out anything IPv4 from firewall host itself"
pass out route-to (vmx3 10.1.1.1) inet from 10.1.1.3 to ! 10.1.1.0/29 flags S/SA keep state allow-opts label "let out anything from firewall host itself"
pass out route-to (vmx2 10.1.1.9) inet from 10.1.1.11 to ! 10.1.1.8/29 flags S/SA keep state allow-opts label "let out anything from firewall host itself"
pass in quick on vmx0 proto tcp from any to (vmx0) port = https flags S/SA keep state label "anti-lockout rule"
pass in quick on vmx0 proto tcp from any to (vmx0) port = http flags S/SA keep state label "anti-lockout rule"
anchor "userrules/*" all
block drop in quick on vmx0 inet from any to ! 10.255.21.232 label "USER_RULE"
pass in quick on vmx1 inet from any to <negate_networks> flags S/SA keep state label "NEGATE_ROUTE: Negate policy routing for destination"
pass in quick on vmx1 route-to { (vmx2 10.1.1.9), (vmx3 10.1.1.1), (vmx3 10.1.1.1), (vmx3 10.1.1.1), (vmx3 10.1.1.1) } round-robin inet all flags S/SA keep state label "USER_RULE"
anchor "tftp-proxy/*" all</negate_networks></virusprot></webconfiguratorlockout></sshlockout></snort2c></snort2c>

Получается, что при установке 2.2.5 с нуля, некоторые правила не создаются что ли?
Я так понимаю, основная причина неработы - это отсутствие строк

pass out route-to (vmx3 10.1.1.1) inet from 10.1.1.3 to ! 10.1.1.0/29 flags S/SA keep state allow-opts label "let out anything from firewall host itself"
pass out route-to (vmx2 10.1.1.9) inet from 10.1.1.11 to ! 10.1.1.8/29 flags S/SA keep state allow-opts label "let out anything from firewall host itself"

"Operation timed out" либо "Connection refused"

Рекомендую для начала проверить настройки NAT — они лучше работают и контролируются в ручном режиме.
Может какая проблема в файрволе
Вывести правила можно командами

pfctl -sn

pfctl -sr

Проблема наблюдается при последовательной установке 2.2.5 и 2.2.4 на одну и ту же виртуальную машину без изменения ее настроек, поэтому, я думаю, из подозреваемых ESX можно исключить?

Какие типы соединения исп-ся на WAN-ах?
WAN-ы вообще поднялись ? Это видно в веб-фейсе ?

Интерфейсы точно правильно сопоставлены в вирт. машине? Покажите скрин настроек в ESXi.

P.s. Попробуйте исп-ть не intel-кие сетевые, а нативные паравиртуальные в настройках вирт. машины. Предварительно выкл. её.