jov

Не совсем понятно, какая свзяь между количеством серверов и необходимостью шифрованного канала между этими серверами? OpenVPN прекрасно справится с этой задачей, сделаете для каждого сервера сертификат, он будет получать строго определенный IP из выбранной вами «приватной» сети, маршрутизация тоже поднимется на автомате. Только вот зачем?

Даже не сомневайтесь — ставьте OpenWRT. Тот порт бросайте в отдельный влан и всё.

В репозиториях OpenWRT есть nginx, ничто не мешает использовать его как reverse proxy.

Из вашей схемы не понятно как гости и сотрудники, вообще имеют выход в интернет, ведь маршрутизаторы и хост с pfSense на борту, находятся в разных подсетях, следовательно не видят друг друга. Это раз.
Во-вторых, раз уж вы располагаете двумя маршрутизаторами, а не точками доступа, то там наверняка можно прописать список к хостов к которым доступ запрещён, вот и загоняйте туда всю «сеть гостей». Не видел ни одного современного роутера не имеющего такого функционала из коробки.

Я бы попробовал примерно так.

#создаём виртуальные интерфейсы с закреплённым за ним vlan id
for i in `seq 0..$n`; 
do
   /sbin/vconfig add eth0 $i
   /sbin/ip addr add eth0.$i 192.168.0.$i
done
#а теперь собственно тегируем трафик
ip route add 192.168.0.0/24 via 192.168.0.1
ip route add 192.168.1.0/24 via 192.168.0.2

Если совсем не правильно, не пинайте ногами пожалуйста, ленно в столь поздний час проводить эксперименты.