massi314
No, non usare la 'DMZ' che ti trovi in doppio NAT. Fai fare PPPoE e NAT allo Zyxel, disabiliti il NAT sul pfSense, lo Zyxel rimane gateway sulla .'WAN' del pfSense, e sullo Zyxel fai una o più rotte per le LAN dietro il pfSense, avendo come gateway il pfSense come visto dallo Zyxel.
Unica scocciatura il forwarding delle porte devi farlo sullo Zyxel. Le regole di firewal le puoi fare sull'uno o sull'altro.
In questo modo qualsiasi dispositivo collegato direttamente allo Zyxel si troverà in una vera DMZ, cioè fra il firewall sullo Zyxel e quello del pfSense.