Sur la livebox TV, j'ai l'erreur S04.
J'ai implèmenté une configuration similaire à la tienne avec la livebox derrière le routeur.
Pour les tests, j'ai laissé le DHCP de la Livebox actif.
Sur le port switch de la Livebox TV, j'authorise les vlans 1UP, 838T, 840T cette partie est ok puisque sans passer par le pfSense, ça fonctionne.

Bon j'ai corrigé le soucis d'accès à Internet depuis le player TV. (Mauvaise règle de NAT)
Par contre toujours pas de flux TV.
Ce qui est étrange c'est que je ne vois pas dans les tcpdump la requête DHCP sur le 838.
Au boot du player TV, il me demande mes identifiants, ça doit être lié.

Après la mise à jour, tous les vlans id ont sauté, je pense que c'est dû aux changements du config.xml. Pas pratique à reconfigurer car il faut que les interface

Le truc pas pratique c'est que c'est une appliance, une fois bloqué en single user mode, je n'ai pas trouvé comment réinitialiser la configuration (réinstallation obligatoire). Une VM aurait été plus pratique, c'est prévu, mais je n'ai pas encore reçu ma carte réseau :-/.

Sinon, le plus important, il y a le PCP fonctionnel et ça c'est top  , un grand merci.

La configuration sera compatible 2.2 au niveau du xml ?

Effectivement les (vieux) VLANs sautent car j'ai changé le nom du champ xml pour qu'il ne soit plus ambigu ('tag' -> 'vid'). Par contre je n'ai pas pensé à rendre le truc rétro-compatible. Et si tu passe en 2.2 ça fera la même chose (puisque ça ira chercher le champ 'tag').
Par contre tu dis que pfSense n'a pas démarré à cause de ça et t'a jeté en single-user mode ? C'est étrange...

Sinon, j'ai enfin eu le temps de monter la config pour passer la TV par pfSense, et ça marche nickel après quelques ajustements.
Par exemple:
- Pour qu'igmpproxy arrête de spammer le system log, il faut modifier la ligne suivante dans /etc/inc/services.inc :
        mwexec("/usr/local/sbin/igmpproxy -d 4 -c {$g['tmp_path']}/igmpproxy.conf");et enlever l'espace entre 'd' et '4' pour que le niveau de log fonctionne normalement (au lieu d'être en DEBUG).

- Avec la config du tuto, le bridge reboucle le multicast du VLAN 840 sur le VLAN 838 et c'est pas très propre (et surtout ça bouffe des ressources)...
Pour éviter ça, dans la configuration avancée du bridge il faut déclarer les deux interfaces VLAN en tant que "Private ports".

- Il manque dans le tuto les règlespour faire passer le multicast. Et si on veux on peut activer le filtrage au niveau du bridge au lieu des interfaces membres, en changeant les tunables suivants :
net.link.bridge.pfil_member à 0
net.link.bridge.pfil_bridge  à 1

Pour le flux qui remonte, tu peux aussi éventuellement activer l'igmp snooping sur le bridge.

Je n'ai pas trouvé l'option dans le GUI, du coup comme ça c'est sauvegardé dans la config.

Oui, il n'y a pas de raison.

Par contre tu auras des problèmes sans mon patch si tu as besoin des priorités VLAN.

1. Il est encore la celui qui a fait un combo pfsense + debian (pour contrer les pbs de priorités) ?

C'est moua