Вопрос решен. Тривиальная задача - тривиальное решение.
Микротики - клиенты OVPN-server Peer-to-Peer ничего не знали о сети 10.11.11.0/24, адреса из которой получают клиенты сервера Remote Access.
Добавляем маршрут:
/ip route
add comment=" " distance=20 dst-address=10.11.11.0/24 gateway=ovpn-out1 scope=10
где
ovpn-out1 - интерфейс Микротика к OVPN-server Peer-to-Peer
Смотрите таблицы марш-ции на проблемных клиентах при поднятом впн-канале.
Пример таблицы с корректными маршрутами приведен в 1-м посте
существовании такой команды как tracert\traceroute
tracert, насколько помнится, "проваливался" на первом IP "серверного" конца туннеля, дальше шло сплошное
Маршруты вроде на месте, а в логе firewall ничего на тему нет?
Включение лога как раз и показало, что пакеты в нужные сети уходят, это подсказало, что проблема не в pFsense.
Жаль, что не прочитал ваш пост раньше, пришлось думать самому ;)