Die Aufgabenstellung und Netztopologie ist eigentlich klar formuliert. Die pfsense box ist ein Firewall - und NUR ein Firewall. Ich werde keinerlei Routerfunktionalitäten auf einen firewall verfrachten, denn das widerspricht dem Konzept eines Firewall.
Ich frage mich gerade, wie trennst du die internen Netze voneinander? Du sprachst ja von captive Portal, also gehe ich mal davon aus, dass du Clients haben wirst, die explizit NICHT in die anderen internen Netzbereiche kommunizieren sollen/dürfen? -> wie willst du das Trennen, wenn der Router nicht entweder eine Firewall hat oder du umständlich mit ACLs arbeiten willst? Der Client im "Gästenetz" kommt doch gar nicht an der nachgeschalteten Firewall vorbei, wenn der Router davor die Netze schon selbst routet.
Man könnte sogar sagen, der Router, der sowas in einer Box anbietet, kommt einer Firewall zumindest ansatzweise gleich und widerspricht damit deiner Auffassung von einer Firewall
Auch wäre eine VPN Funktionalität direkt durch die PFSense durch zum Router eigentlich konzeptionel sinnfrei -> die Firewall sieht damit ja nur verschlüsselten Traffic und kann damit so gar nix anfangen...
Auch stellt sich mir die Frage, wer in deinem Aufbau die Netze dann routen soll? Wie kommen denn die Pakete durch die Firewall, wenn diese nicht selbst routet? Als Layer2 Bridge konfiguriert? -> das dürfte doch reichlich schwer werden mit der Fritzbox davor. Vor allem wenn diese nur Modem spielt. -> wer routet denn die Pakete vom/zum INet? Du sprachst ja ebenso davon, dass die statische IP public an die PFSense gebunden ist. Hast du mehrere public IPs? Wenn nicht, dann routet die PFSense ja jetzt schon. Nämlich zwischen internen LAN und public. Bzw. warscheinlich betreibst du sogar noch ein NAT auf der PFSense "Firewall"... IPv6 ist ebenso Thema?? -> Wenn ja, dann routet das Ding wohl ganz sicher
Zum eigentlichen, ich würde ehrlich gesagt Abstand von dem Vorhaben nehmen, warum? Sowas kann man zwar machen, aber in der Art ist das mit "professionell" doch schon eher schwierig. Eben weil gerade in diesem Markt nicht alles in einem Gerät gebaut wird. Zumindest häufiger nicht... Auch halte ich eine Firewall VOR dem Router für konzeptionell falsch, zumindest wenn das die einzige Firewall im Aufbau sein soll -> klingt nämlich genau danach. Sowas kann man natürlich machen (eine public Firewall), aber dann hat man trotzdem intern noch eine, nämlich um die Kommunikation intern zu regeln.
Sinnvoll wäre wohl eher ein anständiger Access Point, der eben nix anderes macht, als WLAN bereit zu stellen. Ggf. (wenn es noch mehr in die Prof. Schiene gehen soll) eine AP + externe Controllerlösung. Der AP koppelt dann die Netze VLAN seitig aus, damit brauch es idR auch nur einem LAN Port am AP. Eine Firewall, die die Netze trennt und dabei diese routet sollte für die Kontrolle zwischen den Netzen sorgen. Die Captive Portal Lösung kann dann sonstwas sein und steht im abgetrennten Bereich der Gästelösung. Keine Ahnung, ob man sowas mit der PFSense lösen kann??? Möglicherweise ja... Die sollte/muss dann aber hinter den Router und der Router bietet den Abschluss zwischen internen Netz(en) und public. Über nimmt von mir aus auch die Einwahl über das Modem der FB und macht NAT auf die public IP.