WTF? Sorry, aber warum will ich ein Konfigurationsmanagement Tool, das potentiellen Zugriff auf alles haben muss (auf Root Level) auf meiner Firewall haben die ja mein Netz mit der Außenwelt verbindet? Ein CM System sollte ganz tief im Management only Netz stehen und nur da. Das hat an irgendeinem Gerät mit WAN IMHO nichts zu suchen. Zumal meine ich, dass die pfSense da eh der schlechteste Kandidat ist, weil das System zwar theoretisch jedes Paket installieren kann, man auf einer Firewall aber auch herzlich wenig zusätzliche Dienste haben möchte, die potentielle Sicherheitslöcher beinhalten könnten. Zudem kommt, dass Puppet bzw. der Puppetmaster Server Zertifikatsmanagement machen will/muss und daher dann auch noch den HTTPS Port für sich benötigt.
Dass es keine Doku gibt, ist so nicht ganz richtig. Wie man startet oder bedient lernst du aus der Puppet Doku. Nur weil du das Paket auf der pfSense installiert hast, heißt das nicht, dass du jetzt eine GUI etc. dafür hast. Puppet ist kein pfSense Package, sondern lediglich ein ganz normales FreeBSD Paket und wenn du das installiert hast, hast du eben den Dienst auf der Kiste. Konfiguration und Start/Stop etc. musst du dann wie bei einem normalen nackten Server selbst übernehmen, da hat die Sense nix mit zu tun.
Gruß