Creo que hay varias cosas aun por definir.
Lo que comenta PTT creo Yo tambien es lo mas viable para la interconexion de las cajas , tendrias una interface para la parte de la LAN en cada sitio, mas una interface por cada uno de los sitios remotos que quisieras conectar.
Por otro lado, habria que definir si cada uno de los PFsenses va a hacer NAT o solo el PFsense que va conectado a la nube es la que haria el control/salida/enmascaramiento, todo depende de tus necesidades especificas.
El esquema no es complicado, solo un poco laborioso, deberas de tener cuidado con el direccionamiento nada mas. Y agregar las rutas estaticas correspondientes en cada caja, me imagino que esto es un ISP , por lo que las reglas del firewall son cosas importantes tambien.
Suerte!!!