Как уже упоминалось выше, это больше не проблема для меня, но я столкнулся с потенциальным решением:
Начиная с версии 2.1.5 (не уверен в более ранних версиях), в System: Advanced есть опция : Брандмауэр и NAT, называемая статической фильтрацией маршрутов - Обход правил брандмауэра для трафика на том же интерфейсе . Установка этой опции отключит любую фильтрацию для трафика, который входит и уходит с одного и того же интерфейса, нацеленного конкретно на сценарий с несколькими подсетями на одном интерфейсе.
Я не проверял это (поскольку лабораторная среда, в которой я нуждался в этом, к настоящему времени демонтирована), но возможно это помогает кому-то еще ...