A /29-ben 8 IP-nek kéne lennie, ha jól számolom - amiből persze kettő (subnet, broadcast) használata nem ildomos. Mivel vélhetően itt lesz a default gw, ezért te ebből a tartományból ténylegesen öt IP címet használhatsz. Ez több, mint elég. :-)
Szerintem adj mindkét pfSense-enk innen egy valós IP címet, amin közvetlenül az adott pfSense érhető el. Illetve azt a publikus IP-t, amin elérhető a partner, vedd fel mindkét pfSense-re, mint carp IP. Amire figyelj: a kifelé menő NAT alapjáraton a carp IP-ként felhúzott publikus IP-re NAT-oljon! Szintén fontos, hogy ugyanezt a mókát a belső háló felé is el kell játszani, mert ha elesik az elsődleges pfSense, akkor az oké, hogy a másodlagos a világ felé magára húzza a publikus carp IP-t, de ha nem történik meg ugyanez a belső háló felé is, akkor igazából nem értél el semmit. Tehát a belső hálóra is fel kell húzni egy carp IP-t a belső hálózatból és a belső hálózat default gw-je a carp IP.