Zugriff auf Webinterface vom Router aus dem LAN hinter doppelten NAT

Dann hast du keine Firewallregel die es die erlaubt. Leg mal eine AnytoAny-Regel an.

Was heißt kein Web? Überhaupt kein Internet an der PfSense?

Und am Zyxel auch die Firewall Settings für den Zugriff aufs webif prüfen (Subnets etc.)

p.s. wieso doppeltes NAT? Statische Route auf dem Zyxel hätte genügt und du brauchst kein NAT an der pfsense.

Eigentlich nein ! Das funktioniert schon im Default Setup so.
Knackpunkt ist das oben schon erwähnte "Block private Networks" am WAN-Interface. Der Haken muss da natürlich raus.
Ich habe das eben an einem identischen Setup hier im Labor getestet nur statt Zyxel einen Cisco 880 und das klappt fehlerlos.
In dem Netz ist auch testweise noch ein RasPi mit Apachen und auch darauf klappt der Zugriff.
Das muss auch so sein, denn die pfSense setzt ja alles was hinter ihr ist auf die IP Adresse 10.2.3.2 per NAT um.
Der Zyxel (und alles im lokalen LAN dort) rafft also gar nicht das da was anderes kommt sondern denkt der Zugriff kommt aus seinem lokalen LAN mit dieser Absender IP.
Ein paar Dinge solltest du noch checken:

• In pfSense Menü unter Diagnotics -> Ping mal einen Ping direkt von der pfSense auf den Zyxel absetzen und auf die Absender IP achten. Ping einmal mit WAN Port Absender und LAN Port Absender ausführen. Kommt das beides an ?
• Ziehe mal den Zyxel testweise ab und ersetze ihn mit einem Rechner wo ein kleiner Webserver rennt wie z.B. der HFS Server: http://www.rejetto.com/hfs/ Den kannst du direkt von einem Stick oder Verzeichnis ohne Installation starten. Kann der erreicht werden von Clients hinter der pfSense ? Auch hier mal zusätzlich den Ping wie oben direkt von der pfSense testen. Was ergibt dieser Test ?
• Natürlich kannst du den HTTP Server auch zusätzlich zum Zyxel ins 10.2.3er Netz stecken.

Zur Frage von oben: Internet Zugriff klappt aber fehlerlos in dem Setup, oder ?