Разрешить доступ DNS Resolver из WAN OPNSense

Я пытаюсь разрешить одной из моих подсетей разрешать имена хостов в другой подсети (каждая с другим доменом), используя перенаправление DNS в OPNSense с несвязанным DNS. У меня есть три брандмауэра, пограничный брандмауэр и по одному брандмауэру для каждой подсети.

Перенаправление, похоже, работает нормально, а запрос x.subdomain2.co.uk на y.subdomain1.co.uk отображается в брандмауэре 2 следующим образом:

Очевидно, мне просто нужно разрешить этот трафик, а не запретить его, поэтому я создал это правило передачи в интерфейсе EdgeNetwork Firewall 2:

Но кажется, что он все еще блокируется правилом запрета по умолчанию ... Есть идеи, как это исправить?

В InternalDNS псевдоним настраивается так: