Ты уверен, что это не проблема с маршрутизацией? Ты можешь пропинговать разные IP-адреса в обе стороны? В стандартной установке PVE pveproxy слушает на порту tcp/8006 на всех интерфейсах, так что вряд ли в этом дело. Честно говоря, здесь бы не помешала какая-нибудь схема

Сайт A (Йорк):  
-Router 10.10.100.1 (OpenWRT)  
-WG интерфейс IP 10.10.120.1  
-WG интерфейс peer (для сайта B) allowed ips: 10.10.120.12/32, 10.10.125.0/20 + маршруты allowed peers  
-Proxmox хост 10.10.100.8  
-Случайная машина на сайте A 10.10.100.105  
-vmbr0 мост к wan  
-vmbrSwitch настроен со всеми VLAN, включая .100  
-интерфейс через OpenWRT  

Сайт B (Union):  
-Router 10.10.125.1 (OpenWRT)  
-WG интерфейс IP: 10.10.120.12  
-WG Peer (peer обратно на сайт A) allowed ips: 0.0.0.0/0, ::/0 - маршруты allowed ips  
-Proxmox хост 10.10.125.100  
-VM на Proxmox: 10.10.125.225  
-vmbr0 мост к Ethernet, ведущему обратно к wan (на самом деле TP Link Deco роутер — порты 51820 проброшены, uPnP выключен, SIP ALG выключен)  
-vmbrYork — простой свитч, подключенный к OpenWRT  

Статические маршруты (Сайт A — OpenWRT)  
-10.10.125.0/24 (цель) -> 10.10.125.12 (шлюз)  

Статические маршруты (Сайт B — OpenWRT)  
-10.10.100.0/24 (цель) -> 10.10.120.1 (шлюз)  

Статические маршруты (Сайт B — TP Link)  
-10.10.125.0 -> 192.168.68.58 (OpenWRT Сайт B на LAN TP Link)  

Маршруты (Сайт B — Proxmox хост)  
-Пришлось добавить пару маршрутов, чтобы попасть обратно в подсеть 10.10.100.1/24 с Proxmox хоста:  
-10.10.100.0/24 через 10.10.125.1 dev vmbrYork  
-10.10.125.0/24 через vmbrYork proto kernel scope link src 10.10.125.100  
-192.168.68.0/24 dev vmbr0 proto kernel scope link src 192.168.68.222  

Работает:  
-С устройств сайта A можно пропинговать IP peer сайта B  
-С устройств сайта A можно пропинговать VM сайта B (10.10.125.225)  
-С устройств сайта A есть доступ к роутеру сайта B через 10.10.125.1  
-С устройств и VM сайта B есть доступ к управлению Proxmox хостом на 10.10.125.100 и пинг до него работает  
-Сайт B (Proxmox хост и VM) может обращаться ко ВСЕМ устройствам сайта A  
-Proxmox хост сайта B с tcpdump -i vmbrYork ВИДИТ пинги, которые пытаются добраться до 10.10.125.100 при прохождении через OpenWRT, но до самого хоста они не доходят  

Не работает:  
-Невозможно пропинговать 10.10.125.100 с сайта A (сразу таймаут ICMP запроса)  
-Невозможно зайти на него через браузер  
-Пробовал играться с правилами фаервола, но всё должно быть настроено на разрешение трафика... плюс всё остальное Site A <-> Site B работает нормально  
-Пробовал отключать rp filter на vmbrYork  

Единственное, что приходит в голову — Proxmox хост на сайте B неправильно находится в подсети? (хотя с машин сайта B он работает)  

Я следовал советам чат-ботов и начал играться с mss clamp и mtu, но только временно разрушал VPN site-to-site Site B и сеть.  

/etc/network/interfaces (Site B):  
auto vmbr0  
iface vmbr0 inet static  
address 192.168.68.222/24  
gateway 192.168.68.1  
bridge-ports enp1s0  
bridge-stp off  
bridge-fd 0  

auto vmbrYork  
iface vmbrYork inet static  
address 10.10.125.100/24  
bridge-ports none  
bridge-stp off  
bridge-fd 0  
post-up ip route add 10.10.100.0/24 via 10.10.125.1  

Извиняюсь, что оживляю эту тему спустя столько времени. Спасибо за любые советы. Я бы дал больше информации про хост сайта B, но приходится вручную перепечатывать вывод из-за того, как я подключен к той машине (консоль в браузере через RDP через RDP).

Блин, работать всё заработало! Изначально я планировал просто сделать мост между сетью Proxmox на сайте А и сайтом Б. Но теперь я добавил 192.168.68.1 в список разрешённых IP/статических маршрутов на сайте А (это роутер TP Link в локальной сети сайта Б). Теперь я могу заходить на Proxmox сайта Б по его локальному IP прямо с сайта А! https://192.168.68.222:8006/#v1:0:18:4