Здравствуйте!
Хочу помочь вам с данным проектом.
Для большей надежности я предлагаю:
1. настроить все доп IP адреса на pfSense.
2. для тех 2х машин, которые имею выделенные публичные IP мы сделает 1:1 NAT с pfSense, то есть все порты будут проброшены. Или лучше пробросить только часть портов, для большей безопасности.
3. машины использующие pfSense WAN IP так и останутся за ним.
4. если вы хотите изолировать машины друг от друга, то необходимо либо поместить кажую машину в своей изолированной сети, либо выдать им узкую маску сети (правда это не изолирует их на 100%).
Касательно моего опыта:
Большой опыт использования серверов и VPS Hetzner.
Имеется большой опыт сетевого администрирования (VLAN, SNAT, DNAT, iptables, iproute2, multiWAN, tcpdump...), управляемые свичи, роутеры.
Обширный опыт с системами виртуализации: VMWare ESXi, vCenter, MS Hyper-V, Proxmox VE.
Резервное копирование и реплицирование виртуальных машин - Veeam B&R.
Огромный опыт настройки pfSense роутеров. Я использую pfSense в каждом офисе на моей основной работе, так же в моем собственном офисе, и на всех арендованных серверах в дата центах, как машину-роутер. Что я делал с pfSense: DHCP, DNS, DyDNS, SNAT, DNAT, 1:1 NAT, Destination\Source routing, Carp (2 железных pfSense в отказоустойчивом режиме), MultiWAN, gateway groups (failover and load balancing), VLANs, и большой опыт OpenVPN серверов\клиентов на pfSense.
Надеюсь на сотрудничество!
Спасибо!