поправил, не подтвердилось поведение :(

сделай статический маршрут в 192.168.77.0

на pfsense_B добавил gateway - 192.168.77.1
добавил статический маршрут - 192.168.77.0/24 via 192.168.77.1
появилая маршрут как на скрине

Port Forward с pfsense_A на pfsense_B (тестирую на HTTP)
1.1.1.1:12389 -> 192.168.66.1:80 - не работает

шлюзом должен выступать pfsense B. простой статический маршрус сделай

я только так могу тогда

а кто выступает шлюзом для client B?

для Client_B - pfSense_B

а, кажется дошло, надо сделать статический маршрут на client_B в сеть pfsense_A?

да

точно!

добавил, но это не помогло.
без этого и так c Client_B трафик без проблем ходил на pfSense_A и на Client_A

у меня бывали такие проколы, когда где-то не хватало маршрута, и я это выявлял Wireshark'ом - там хотя бы входящие пакеты были, они просто не знали куда возвращаться

а тут и входящих на эту машину нет

значит нужно еще ipsec копнуть

а мне не нужны всякие штуки типа NAT/BINAT?

возможно еще нужно копнуть в сторону nat reflection

но это не точно

Прошу подсказать алгоритм решения. Задача: есть два филиала, первоначально на каждом филиале было по одному провайдеру, соответствено был поднят IPSEC в тунельном режиме, и все были довольны и счастливы. Но появилась возможность в каждый филиал завести по второму провайдеру, и теперь старая схема не совсем нравится. Вопрос как организовать VPN что бы он сам определял падающие каналы, и всегда был в работе, просто пихните в нужном направлении. Спасибо ...