pfsense Roteador NAT - “live with” double nat (expresso do aeroporto)

Eu tenho uma configuração que funcionou durante anos com uma fibra para um roteador NAT para os clientes. Os clientes são tipicamente roteadores NAT baratos de qualquer tipo.

Configuração como esta

Fiber from ISP
 |
Router, pfsense
-WAN - x.x.x.x /29 (public IP)
-LAN - 10.0.0.1 /21
  |
Switches (with port-security to clients cannot "see" each other)
  |
Clients (typically local Wifi Routers)
-behind each client is typically a 192.168.0.1 /24
-some clients are in bridge mode forward main routers 10.0.0.x IP's

A questão é que mais e mais clientes são os roteadores da Apple (Time Capsule e Airport Express) que relatam "double NAT" e configuram-no no modo Bridge.

Infelizmente este "modo de ponte" fornece alguns problemas, pois as ofertas do DHCP não são encaminhadas muito bem pelos roteadores da Apple no modo Bridge ... portanto, os equipamentos do lado do cliente (atrás apenas de alguns roteadores no modo bridge) começam a roubar IPs um do outro

No log, parece haver um conflito entre clientes para os mesmos IP's

12:37:34 kernel: arp: 10.24.1.142 moved from MAC:1 to MAC:2 on igb1
12:37:13 kernel: arp: 10.24.1.142 moved from MAC:2 to MAC:1 on igb1
12:35:44 kernel: arp: 10.24.1.142 moved from MAC:1 to MAC:2 on igb1
12:35:43 kernel: arp: 10.24.1.142 moved from MAC:2 to MAC:1 on igb1
12:35:30 kernel: arp: 10.24.1.142 moved from MAC:1 to MAC:2 on igb1
12:28:13 kernel: arp: 10.24.1.142 moved from MAC:2 to MAC:1 on igb1
12:27:45 kernel: arp: 10.24.1.142 moved from MAC:1 to MAC:2 on igb1
12:26:43 kernel: arp: 10.24.1.142 moved from MAC:2 to MAC:1 on igb1
12:25:40 kernel: arp: 10.24.1.142 moved from MAC:1 to MAC:2 on igb1

Onde posso dar errado com essa configuração?

1. Alterar a configuração principal do roteador?
2. Força os clientes a dobrarem o "modo de ponte", permitindo apenas um único IP / MAC pr. clientes (por porta do switch)