Eu não sei por que você quer um modo de ponte. Se você tem um único IP público, sugiro que use o esquema abaixo.
No pfSense, defina as regras NAT (que também criarão automaticamente regras de firewall) para encaminhar portas publicamente acessíveis para a rede OPT1 na qual os serviços públicos funcionam na VM. Não sei por que você quer DHCP em OPT1, mas não há problema em usar o DHCP estático que colaria endereços MAC de VMs em IPs específicos. Desta forma, o NAT sempre encaminhará as conexões de entrada para uma VM específica.
Nas regras de firewall, habilite a passagem de todos os protocolos de LAN para OPT1. Desta forma, a rede LAN interna seria capaz de acessar os serviços da VM, mas seria protegida da internet e OPT1 (por isso, se alguma VM for invadida, ela não poderá acessar a LAN)
No redirecionador DNS pfSense, substituir registros DNS públicos por FQDN de VMs, portanto, quando houver conexão da LAN para OPT1, ela apontará para a VM localizada na rede OPT1.
Por exemplo, você tem um registro DNS público para o site que resolveu seu endereço IP público como my.www.example.com->1.2.3.4
No redirecionador de DNS, substitua o IP público definindo my.www.example.com->10.1.10.50
Desta forma, se a conexão à VM vier da Internet, ela será passada pelo NAT para a VM na rede OPT1, mas se a conexão for proveniente da LAN, o redirecionador DNS do pfSense apontará para a VM no OPT1 usando IPs privados.
Como sobre WiFi, - use-o como ponto de acesso (AP). Deixe a porta WAN desconectada e defina a LAN da Wi-Fi para que ela fique na faixa de LAN do pfSense e desative o DHCP nela. Desta forma, os computadores conectados à porta da LAN sem fio (funcionará como comutador regular) e os clientes WiFi obterão IP do DHCP do pfSense.