Não estou 100% claro sobre quais são seus objetivos de design, mas acho que posso ajudá-lo a responder sua pergunta.
O tráfego da VPN será criptografado / decriptografado em qualquer ponto final do seu ponto. Se você tiver tráfego de VPN passando pelo ASA para o pfSense, o FirePower não poderá inspecionar esse tráfego.
Se você encerrar a VPN no ASA, então eu acho que este link irá ajudá-lo a ver onde o módulo da Firepower é usado pouco antes do ASA enviar o tráfego para fora da interface de saída.
Veja a figura 2-15 link