昨日物理インターフェイスとbridge0の両方にIPアドレスを割り当ててひどい目にあったので、bridge0だけにIPアドレスを割り当てるように修正。
/etc/rc.conf

network_interfaces="rl0 lo0 tap0"
ifconfig_rl0="up"
ifconfig_tap0="up"
cloned_interfaces="bridge0"
autobridge_interfaces="bridge0"        # List of bridges to check
autobridge_bridge0="rl0 tap0"        # Interface glob to automatically add to the bridge
ifconfig_bridge0="inet 192.168.0.2 netmask 0xffffff00"
defaultrouter="192.168.0.1"
openvpn_enable="YES"

もともと、rl0にはaliasで192.168.0.3も割り当ててあって、jailで使っていたのだけれど、どうせ使っていないのでjailの設定は外してしまった。この場合、192.168.0.3もbridge0に割り当てるのが良いのだろうか？
で、ipf.rulesのインターフェイスをrl0からbridge0に変更して、openvpn.confのserver-bridgeの行を元通り192.168.0.2に戻したら、綺麗に動くようになった。
普段はopenvpnは使わないのに、常にインターフェイスが promiscuous モードになっているのはどうなんだろうと思うけど、まあ実害はないだろう。