NAT-маршрутизатор pfsense - «жить с» двойной нат (экспресс в аэропорт)

У меня есть установка, которая годами работала с оптоволоконным кабелем, ведущим к маршрутизатору NAT для клиентов. Клиентами обычно являются дешевые маршрутизаторы NAT любого типа.

Настроить так

Fiber from ISP
 |
Router, pfsense
-WAN - x.x.x.x /29 (public IP)
-LAN - 10.0.0.1 /21
  |
Switches (with port-security to clients cannot "see" each other)
  |
Clients (typically local Wifi Routers)
-behind each client is typically a 192.168.0.1 /24
-some clients are in bridge mode forward main routers 10.0.0.x IP's

Проблема в том, что все больше и больше клиентов являются маршрутизаторами Apple (Time Capsule и Airport Express), которые сообщают о «двойном NAT» и устанавливают его в режиме моста.

К сожалению, этот "режим моста" дает немало проблем, поскольку предложения DHCP не очень хорошо передаются через маршрутизаторы Apple в режиме моста .... поэтому оборудование на стороне клиента (только за некоторыми маршрутизаторами в режиме моста) начинает красть IP-адреса друг у друга.

В журнале кажется конфликт между клиентами с одним и тем же IP

12:37:34 kernel: arp: 10.24.1.142 moved from MAC:1 to MAC:2 on igb1
12:37:13 kernel: arp: 10.24.1.142 moved from MAC:2 to MAC:1 on igb1
12:35:44 kernel: arp: 10.24.1.142 moved from MAC:1 to MAC:2 on igb1
12:35:43 kernel: arp: 10.24.1.142 moved from MAC:2 to MAC:1 on igb1
12:35:30 kernel: arp: 10.24.1.142 moved from MAC:1 to MAC:2 on igb1
12:28:13 kernel: arp: 10.24.1.142 moved from MAC:2 to MAC:1 on igb1
12:27:45 kernel: arp: 10.24.1.142 moved from MAC:1 to MAC:2 on igb1
12:26:43 kernel: arp: 10.24.1.142 moved from MAC:2 to MAC:1 on igb1
12:25:40 kernel: arp: 10.24.1.142 moved from MAC:1 to MAC:2 on igb1

Где я ошибаюсь с этой настройкой?

1. Изменить настройки основного маршрутизатора?
2. Заставить клиентов переключиться в «режим моста», разрешив только один IP / MAC pr. клиенты (на порт коммутатора)