A konfig azért így alakult, mert a kliensek OpenWrt routerek, amiknek a LAN portjai össze vannak bridgeelve a VPN-el. A tunnel felett DHCP kérések, tftp (PXE), nfs mennek. Ezeket a feladatokat az egyszerűbb, központi kezelés miatt nem akartam kirakni a routerekre, így a legegyszerűbb módszernek arra, hogy minden menjen az L2 VPN tűnt.
A pfsense-en azért szeretnék külön címet a tap interfacenek, hogy a routerek LAN portjaira csatlakozó gépek egy elkülönített, de azonos subnetben lehessenek. (Erre aztán csinálhatok tűzfal szabályokat, stb...)
Tudom, hogy overhead szempontból nem a legoptimálisabb megoldást választottam, de nem volt kedvem keresgélni, hogyan lehet megerőszakolni a tun módot úgy, hogy a fenti követelményeknek megfeleljen. Ha még mindig úgy gondolod, hogy fordítva ülök a pacin, akkor nekikezdek dokumentációt bújni, hogyan is kellene ezt szépen megcsinálni :)