Перенаправление портов Firewalld на виртуальный IP

Я пытаюсь заменить существующий туннель AutoSSH правилами брандмауэра:

      firewall-cmd --zone=public --add-forward-port=port=9999:proto=tcp:toport=9999:toaddr=100.1.1.1

Это должно пересылать все входящие TCP-соединения на 100.1.1.1.

Проблема в том, что он не работает (порт остается закрытым). Я пытаюсь понять, что я делаю неправильно, и единственное, о чем я могу думать, это то, что IP-адрес назначения находится на другом сетевом адаптере и создается Tailscale (аналогично Wireguard VPN), так что это своего рода виртуальный IP.

Итак, существуют ли ограничения, на какие IP-адреса вы можете переадресовывать? И есть ли способ их обойти?