[artem_]

Abadd0N, вам по идее нужен NAT на интерфейсе ng0, т.к. он и является инерфейсом, через который ваша система взаимодействует с внешним миром.
Правила NAT применяются в PF по первому совпадению (не так как правила фильтрации).
Попробуйте привести свои правила трансляции к следующему виду:

Код:

nat on $vpn_if from $int_if:network to !($ext_if:network) -> ($vpn_if)
nat on $ext_if from $int_if:network to $ext_if:network -> ($ext_if)

P.S.
pass all - не есть хорошо, этим правилом вы разрешаете прохождение пакетов по всем возможным направлениям, включая доступ к внутренним ресурсам сети.