Soluzione:
openVpn gw2gw in tcp (gre nn va!) con unblockvpn = tunnel con indirizzo ip pubblico e statico
dovrei quindi poter:
Tutto il traffico che entra da vpn deve uscire da vpn (tcp & udp…)
o (se la prima condizione non è possibile)
tutto il traffico in ingresso http deve uscire da vpn
o
il taffico generato da una macchina in dmz deve uscire da vpn

Chiaramente il primo obiettivo è il preferibile.

facile no?
NO: uso endian firewall.. e non sono riuscito a creare una configurazione che mi permetta di fare cio.
Motivi:
non si può definire come uplink una connessione client openvpn (quindi niente policy routing..)
snat e dnat insieme non sono stato in grado di configurarli (al max riesco a far arrivare un pacchetto icmp da vpn a una macchina in dmz.. ma poi la risposta esce dal gw predefinito=fastweb)

prima che piallo endian..
mi chiedo pfsense riesce a gestire tale scenario? qualcuno ci ha già provato?
o anche:
multiwan con openvpn client + policy routing
snat + dnat insieme su connessione openvpn

thx so much!