"ha nem adom meg a pasv_address-t, akkor a helyi hálózati ip címet adja vissza a wan kliensek felé is, és nem a tényleges wan ip címet."
Ha jól értem, a vsftpdt futtató gépnek csak egy ethernet interfésze van, ami a LAN-ra van kötve a router belső interfészével együtt. Így a vsftpd nem is tehet különbséget a kliensek között. A router WAN IP-jét csak a router tudja beletenni vagy nem beletenni. A passzív portok tartományának a forwardját vedd ki a routerből, azt automatikusan kellene kezelnie. Az a sejtésem, hogy a manuális portforwardot előbb dolgozza fel a router, mint az FTP NAT-ot, így nem változtatja az adatrészben átvitt IP-t és portot. A 20-as port átirányítása pedig szintén felesleges.
Összefoglalva: a szervernek semmi köze ahhoz, hogy honnan jön a kapcsolat, a router NAT lekezeli.