Estimado amnari, muchas gracias por responder.
Es probable que no sea la única manera, pero como mis conocimientos de redes son más bien escasos y a nivel doméstico, esto es lo único que tengo en mente.
Para extender más la descripción de mis necesidades respecto a los servicios que debe prestar ROUTER_II:
1. Tráfico por openVPN. La conexión la tengo ya establecida desde ROUTER_II con un proveedor de servicios VPN (IPVanish) aunque sólo he sido capaz de configurarlo para toda la subred, no sólo para unos pocos clientes. Llevo con este proveedor ya hace un tiempo y me resulta útil ya que viajo mucho y no me apetece conectarme a sitios sensibles desde aeropuertos u hoteles de manera directa. A uno de mis colegas ya le han dado un susto (o eso dice) y no me apetece pasar lo mismo. Y ya que tengo este servicio, pues me parece útil configurarlo en el ROUTER_II de casa y no andar con el cliente instalado en cada ordenador de casa. Aquí es todo muy espinoso porque supongo que para hacer port-forwarding debe ser el proveedor el que te deje abrir el puerto en cuestión, y este proveedor no deja. El ejemplo típico es ponerte a bajar torrents como un loco y descubrir que tienes el famoso puerto cerrado, pero hay otras aplicaciones más legítimas que usan por ejemplo UPnP.
2. Servidor FTP (o si ya tiro la casa por la ventana, Owncloud) tras ROUTER_II sin pasar por la VPN para compartir ficheros sencillitos (fotos y demás) con el resto de la familia lejana. Aquí supongo que tendría que tirar de algo como dynDNS y tener mucha idea de cortafuegos y seguridad para que nadie se meta hasta la despensa.
Supongo que al menos en el caso 2 el doble-NAT está presente. De allí mis dudas a la hora de hacer port-forwarding en los dos escenarios que he descrito.
Lamento si no puedo ser más claro con la descripción pero pfSense está siendo para mí un curso acelerado de redes ;)
Por cierto, si a alguien le interesa configurar pfsense con este proveedor de VPN, que mire esta guía. Con una serie de modificaciones ajustadas a las necesidades de cada uno al menos el túnel funciona: https://forum.pfsense.org/index.php/topic,66467.0.html
Muchas gracias de nuevo