Мостовая сеть KVM | Пингует хозяину, но не другим гостям

У меня небольшая топология виртуализированных машин (один брандмауэр PFSense и окно Windows 7 для проверки возможности подключения).

На хосте настроено два интерфейса моста.

br0 соединяет хост WAN (eno3) и PFSense WAN (xn0). Это обеспечивает подключение к Интернету для обоих хостов. Я могу успешно подключиться к обоим извне.

br1 подключает PFSense LAN (xn1) к виртуальным адаптерам других гостей (в данном случае Windows 7).

Моя проблема в том, что по какой-то причине я не могу заставить хосты внутри br1 пинговать друг друга. Если я добавлю адрес к br1 с хоста, я смогу отправлять и получать эхо-запросы на оба гостевых IP-адреса, и они могут пинговать адрес хоста. Проверяя Wireshark, я вижу, что два хоста транслируют ARP, чтобы найти другую машину.

но никогда не превращается в успешный пинг. Я пробовал отключить брандмауэр на клиенте Windows 7, но он все равно не работает.