Management Interface pfsense

Wieso das nicht? IP richtig gesetzt DHCP Server auf dem Interface aktiviert, oder Client manuelle IP zugewiesen ?
Firewall auf dem MM-Interface richtig konfiguriert Any-To-Any Regel (oder Port 80/443 freigeschaltet) ?

Wie bei einer Firewall üblich (und jeder Netzwerker weiss...) ist auf ALLEN Interfaces erstmal alles generell verboten was nicht explizit erlaubt ist !!
So auch an deinem Management Interface !!!
Ausnahme ist nur das Default LAN Interface, dort ist einen any zu any Rule per Default aktiv die alles erlaubt.

Du musst also nur ganz einfach an deinem Mgmt Interface eine Regel erstellen die besagt:
pass Source: mgmt netzwerk, port any ==> Destination: mgmtport address, port TCP 80
Fertig.
Das erlaubt dann NUR die Verbindung eines Clients mit einer Absender IP aus dem Mgmt Netzwerk und einer Ziel IP die der der Mgmt Port IP auf der pfSense entspricht mit dem Zielport TCP 80 (HTTP).
Mehr ist dann an diesem Port nicht möglich !!
Willst du HTTPS auch noch erlauben (oder nur erlauben wegen Sicherheit) dann änderst du den Port halt in TCP 443 oder fügst ihn mit einer weiteren Regel hinzu !
So einfach und kinderleicht ist das
Ansonsten hilft IMMER ein Blick in das Firewall Log unter Diagnostics dort steht nämlich immer drin was die Firewall blockiert !!
Na ja ist ja schon alles gesagt zu dem Thema Regeln. Wichtig noch zu merken:

• Regeln gelten nur inbound ins Interface
• Es gilt "First match wins" Was soviel bedeutet wie Reihenfolge zählt und wenn eine Regel einen Hit hat werden die folgenden NICHT mehr abgearbeitet. Das solltest du als Grundregel immer im Hinterkopf haben wenn du ein Regelwerk definierst !

Was in deinem Falle nich wichtig ist:
Thema Anti Lockout Rule !!
Die kannst du Abschlaten wenn du das Interface ganz sicher machen willst. Per default ist die aktiv so das du auf jedem Interface außer WAN das Setup erreichen kannst. Wenn du das deaktivierst bestimmst du mit deinen Regeln den Zugang.
Achtung: Wenn du da dann was verkehrt machst kannst du dir den Ast absägen auf dem du sitzt
Dann hilft dir nur die Shell über den serielnn Port und / oder der Factory Reset !!

Lies dir also hier dringenst erstmal die Grundlagen durch, denn das ist pfSense Basic bzw. generell Firewall Basiscs:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
und auch hier in den Folgethreads:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)

Immer ohne !
Ist ja klar, denn was für einen Sinn hätte dann eine Verschlüsselung ?
Erstens müsstest du jedem Einzelnen dann das Schlüsselpasswort verraten, was einen erhöhten und unsinnigen Arbeitsaufwand für dich bedeutet ! Zudem müsstest du es dann wenn es einigermaßen schützen soll mindestens täglich ändern, was wiederum den Aufwand erhöht. Ein sinnloser Teufelskreis und kein einziger CP Betreiber macht so einen Unsinn.
Zweitens ist das Passwort damit dann sofort quasi öffentlich. Du kannst dann gleich am Eingang ein Poster hinhängen auf dem steht "Unser WLAN Passwort ist xyz..." Damit ist der Sinn eines Passworts sofort konterkariert.
Vergiss den Unsinn also.
Offen lassen und Gäste mussen sich wie bei allen anderen CPs auch selber um eine Encryption kümmern. Das weiss mittlerweile auch jeder Laie der CPs benutzt und hat so gut wie immer eine VPN Verbindung dann zu seinem Ziel !

Normal nimmt man immer mSSID Accesspoints die mit gleicher HW mehrere virtuelle WLANs aufziehen können. So hat man ein offenes Gast WLAN mit CP und ein verschlüsseltes internes.
Beschreibung dazu HIER
Das interne verschlüsselte bei Firmen am besten immer mit Radius Authentisierung: Sichere 802.1x WLAN-Benutzer Authentisierung über Radius