Supondo que as interfaces WAN1 e WAN2 de ambas as máquinas tenham endereços IP públicos correspondentes ao ISP, você precisará garantir que também tenha um VIP no lado da WAN para ambas as redes ISP configuradas no CARP, pois a configuração de grupos de gateway não não parece também criar um VIP.
por exemplo,
Para o ISP-1, você pode ter:
Master.WAN1 166.10.15.1
Backup.WAN1 166.10.15.2
CARP VIP 166.10.15.3
Isso garante que o endereço de origem IP não seja alterado quando o pfSense migrar a sessão. Você precisaria então do mesmo tipo de configuração para o ISP-2.
O problema é que enquanto isso manterá o SSH (ou qualquer sessão TCP ativa) para um failover do PFSense Master para o PFSense Backup, não ajudará se o ISP-x ativo falhar como seu intervalo de endereços IP para cada ISP será diferente impedindo o pfSense de manter a sessão.