我在 pfSense The Definitive Guide Version 2.1 中找到了答案。

具有较大 LAN IP 子网的小型 WAN IP 子网

某些 ISP 会给您一个小的 IP 子网作为“WAN 端”分配，并将较大的“内部”子网路由到您的 WAN 子网末端。通常，这是 WAN 端的 /30，以及用于防火墙内部的 /29 或更大的值。提供商的路由器被分配了 /30 的一端，通常是最低的 IP，而您的防火墙被分配了更高的 IP。然后提供商将 LAN 子网路由到您的 WAN IP。您可以在路由接口上使用这些额外的 IP，其中公共 IP 直接分配给主机，或者使用其他 VIP 的 NAT，或者两者的组合。由于 IP 路由给您，因此不需要 ARP，并且您不需要任何用于 1:1 NAT 的 VIP 条目。因为 pfSense 是 OPT1 段上的网关，从 OPT1 主机到 LAN 的路由比使用单个公共 IP 块时所需的桥接方案要容易得多。图 10.25，“正在使用的多个公共 IP — 两个 IP 块”显示了一个结合路由 IP 块和 NAT 的示例。路由公共 IP 在“路由公共 IP”一节中介绍，NAT 在第 11 章，网络地址转换中介绍。

所以我做了一个备用接口 OPT1 并为其分配了一个公共 IP 地址。挂一个小的五端口开关关闭 OPT1 并将我的服务器插入它。然后为服务器分配一个公共 IP 地址，网关设置为 OPT1 的 IP。有了这个，我不得不牺牲我的一个公共 IP，但我能够直接为 OPT1 上的服务器分配一个公共 IP。同时，我能够继续使用其余的备用公共 IP，就像我之前通过 1:1 NAT 连接到位于专用 LAN 上的服务器一样。

其余的设置只是设置防火墙规则以允许 OPT1 <--> WAN。

更新：需要的另一个步骤是，需要为您的公共 IP 块删除任何自动出站 NAT 规则。如果它们没有被删除，出站 NAT 规则将使公共 IP 作为您的 WAN 公共 IP 而不是它们自己的 IP。

正如此处的手册中所述：https : //docs.netgate.com/pfsense/en/latest/interfaces/using-public-ip-addresses-on-an-interface.html

在您的第 5 步中，您为您的 VIP 分配了 IP：xxx.xxx.xxx.105/29。该 IP 地址不在您的 ISP 分配的分配 IP 范围内。您将 WAN 端口配置为 xxx99/29，其网关配置为 xxx98，这意味着如果它的 /29 那么您的可用 IP 地址范围应从 xxx.xxx.xxx.97 到 IP：xxx.xxx.xxx.102

所以在我看来你应该你分配的 IP 范围之一作为你的 VIP 而不是 xxx.xxx.xxx.105/29

希望这可以帮助