"Ha viszont a bridge interfész kap ip címet" Ezt hogy érted? A PFSense-es bridgeknél elvileg az egyik tag interfésznek kellene IP-t állítani, a többit pedig IP config nélkül hagyni, hogy működjön.
VirtualBoxban csináltam egyszer hasonló konfigot, ott a MAC spoofingnak kb megfelelő promiscuous mode bekapcsolása után működött a bridgelt L2 VPN. Én a helyedben megpróbálnék egy mindent átengedő tűzfalszabályt beállítani, aztán packet capturet nézegetni.