Il y a un 'formulaire' de présentation standardisé dans A LIRE EN PREMIER, mais là le problème semble en amont des pfSense.
Ce n'est pas clair du tout !
Un schéma, clair et simple, serait plus qu'utile ...
De même le titre ne dit RIEN : '2 ip pour un wan'
'une société multi-site où [chaque site] possede un PFsense virtuel' : dans l'ordre, il faut privilégier des appliances (physiques), des vieux serveurs (physiques), des VM (virtuels) . Pour le virtuel, cela exige une compétence affirmée sur la virtualisation. Donc, installer une appliance est une excellente idée !
'Derriere (Devant) chaque vm pfsense, se trouve un routeur cisco brancher sur une box orange fournissant l'ip public' : quel est le rôle de ces routeurs Cisco ? Un bon schéma c'est un routeur et un pfSense, pas 2 routeurs successifs (Box + Cisco) !
Le point clé est à ce niveau et, perso, je ne comprends pas : je ne dois pas être le seul !
Et là, il y a 'les routes statiques'.
S'il y avait juste un pfSense sur chaque site, il n'y aurait que des liens Ipsec entre fw et aucune route statique (les liens Ipsec suffisant à indiquer les routes).
En fait, je présume que votre opérateur (Orange) vous a vendu un VPN intersites via les Box+Cisco (peut-être même avec leur fameux 'accès central à Internet'). Donc il a été défini un réseau pour chaque site (=le LAN du Cisco), et ces réseaux communiquent (via la config desdits Cisco). Ce type de VPN est assez incompatible avec des fw locaux ...
Or, maintenant en placant des pfSense, vous avez, sur chaque site, un nouveau LAN différent et distinct de l'ancien LAN, et vous voulez que ces nouveaux LAN se voient. Alors vous pensez ajouter des 'routes' mais il faudrait que le firewall ne fassent pas de NAT : translation d'adresse : le trafic du LAN intérieur sort avec l'ip WAN du pfSense !
Votre problème est donc de
casser les routeurs Cisco
créer un pfSense pour chaque routeur, et créer le réseau VPN intersite
Et là il n'y a aucune route, et les réseaux communiquent ...