Здравствуйте

Есть виртуальная машина под FreeBSD 11.0 на WMSphere с адресом IntIP, с проброшенными наружу на адрес RealIP несколькими сервисами.
Проброс через стандартный WMSphere Edge Gateway, сервисы проброшены наружу через DNAT.

Потребовалось поднять vsftpd с ssl на этой машине, с тем, чтобы дать на нее доступ с нескольких внешних IP.

Пакет vsftpd-ssl-3.0.3
В Edge Gateway был выполнен проброс с инета к виртуалке (DNAT TCP) с портов 21 и на всякий случай с TCP 989-990.
Из виртуалки наружу есть SNAT с полным доступом.
В ipfw внесены правила, разрешающие TCP 21,989,990 и диапазон пассивных портов (см. конфиг vsftpd) для нескольких внешних IP.
В сам vsftpd добавлен корректный pem-сертификат с паблик и приват ключами, выданный внешним CA (RapidSSL) с dns именем, совпадающим с внешним именем сервера (ftp.company.ru)

После всех телодвижений подключение по обычному FTP в пассивном режиме и выполнение команд идет прекрасно, а вот по FTPS - нет.

Лог подключения (FileZilla):

15:29:31    Status:    Resolving address of ftp.company.ru
15:29:31    Status:    Connecting to RealIP:21...
15:29:31    Status:    Connection established, waiting for welcome message...
15:29:31    Response:    220 "Welcome to FTP service."
15:29:31    Command:    AUTH TLS
15:29:31    Response:    234 Proceed with negotiation.
15:29:31    Status:    Initializing TLS...
15:29:31    Status:    Verifying certificate...
15:29:31    Status:    TLS connection established.
15:29:31    Command:    USER **********
15:29:31    Response:    331 Please specify the password.
15:29:31    Command:    PASS **********
15:29:31    Response:    230 Login successful.
15:29:31    Command:    OPTS UTF8 ON
15:29:31    Response:    200 Always in UTF8 mode.
15:29:31    Command:    PBSZ 0
15:29:31    Response:    200 PBSZ set to 0.
15:29:31    Command:    PROT P
15:29:31    Response:    200 PROT now Private.
15:29:31    Status:    Logged in
15:29:31    Status:    Retrieving directory listing...
15:29:31    Command:    PWD
15:29:31    Response:    257 "/" is the current directory
15:29:31    Command:    TYPE I
15:29:31    Response:    200 Switching to Binary mode.
15:29:31    Command:    PASV
15:29:31    Response:    227 Entering Passive Mode (IntIP,197,115).
15:29:31    Status:    Server sent passive reply with unroutable address. Using server address instead.
15:29:31    Command:    LIST
15:29:33    Error:    The data connection could not be established: ECONNREFUSED - Connection refused by server
15:29:40    Error:    Directory listing aborted by user
15:29:41    Status:    Disconnected from server

Конфиг vsftpd:

ftpd_banner="Welcome to FTP service."
anonymous_enable=NO
listen=YES
background=YES
chroot_local_user=YES
local_enable=YES
local_umask=0002
file_open_mode=0755
chmod_enable=YES
write_enable=YES
download_enable=YES
force_dot_files=YES
max_clients=12
max_per_ip=4
dirmessage_enable=YES
idle_session_timeout=300
port_enable=YES
pasv_enable=YES
#pasv_address=RealIP
pasv_min_port=50000
pasv_max_port=50999
allow_writeable_chroot=YES
xferlog_enable=YES
# SSL
ssl_enable=YES
allow_anon_ssl=NO
force_local_data_ssl=NO
force_local_logins_ssl=NO
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO
rsa_cert_file=/usr/local/etc/cert.pem

Пытался:
+ пробовать подключение explicit/implicit и соотв. настройки в vsftpd
+ задать директивой pasv_address в конфиге vsftpd на RealIP (т.к. в логе подключения было "Server sent passive reply with unroutable address")
+ пробовать другой ftp клиент

В любом случае подключение валится на команде LIST со стороны клиента.
Что-то подсказывает, что проблема именно из-за nat-а...