Demorei algum tempo, mas aqui está a resposta:
Edite o P2 no pfSense, defina a Rede local como: Network 10.0.2.0 /24
(a rede onde os clientes realmente residem)
e defina a conversão NAT / BINAT para: Network 10.0.125.0 /24
Assim, o túnel VPN será estabelecido entre a rede remota e 10.0.125.0 / 24 mas os clientes da 10.0.2.0 / 24 podem se conectar e são nados através desta opção.
Eu só testei isso se a conexão for iniciada do meu lado, não sei se o site remoto consegue estabelecer a conexão