Bueno, para mi lo más lógico y correcto es que si tenes pfSense como servidor DHCP, cualquier otro router debe estar desactivada esa opción y ponerle una IP fija dentro del rango FUERA que reparte pfSense pero sin usar el puerto WAN de los router.
Con respecto a los repetidores o extensores, yo NUNCA les he habilitado que sean DHCP para llevar el control y claro también le pongo una IP dentro del rango FUERA que se encuentra pfSense.
Al decir FUERA del rango es por ejemplo si pfSense reparte de la 192.168.1.100 hasta 192.168.1.150, a esos dispositivos les asigno una IP por ejemplo 192.168.1.2 hasta 192.168.1.99 o 192.168.1.151 hasta 192.168.1.254. Si ves, TODOS esos dispositivos están fuera del rango que reparte pfSense, pero a la vez están en la red.
El rango de IPs fijas que uno juega, es para llevar un control. Por ejemplo en una oficina, PYMES o empresas, yo tomo los rangos 2 a la 10 para servidores de dominio, FTP, Base de Datos, etc. De la 11 a la 20 para AP e impresoras y el resto, para la red. Eso es un simple ejemplo, ya que cada quien se ordena de la mejor forma posible.
No comentaste que tu pfSense tenía una tarjeta de red inalámbrica y ahí está la confusión y menos que el extensor no le habías desactivado el DHCP ni nada de lo que has escrito.
Si tanto te preocupan tus vecinos por "tomar lo ageno", creo que estas en un error o pones claves muy sencillas de adivinar.
Oculta los SSID de la red, utiliza WAP con claves complejas mezclando caracteres especiales, números, letras y no menor de 10 caracteres y utiliza filtro MAC.
Nadie roba señal inalámbrica si te proteges bien.
Suerte.
