Messages

3. Floating regel für blocklisten, greifen zuerst auch vor nat.

Nope. NAT-Regeln greifen vor allen anderen. Mehr dazu hier und hier.

Warning

NAT rules are always processed before filter rules! So for example, if you define a NAT : port forwarding rules without a associated rule, i.e. Filter rule association set to Pass, this has the consequence, that no other rules will apply!

I'm not dum

That is not a word.

I don't use caddy but if you want something to be not accessible from the outside, you don't open ports. If you want publicly trusted certificates via lets encrypt, you use the DNS-challenge.

Maybe you know all of that and this is all about configuring a publicly accessible reverse proxy securely, then maybe write that in the subject-line.

Bei dem WG-Port rödelt er aber immer weiter und ein Porttest von der Sense selbst, sagt auch "Connection refused" mit WAN-IP als Ziel und WG-Port

WG nutzt UDP und das kann man schlecht testen. Da deine Regel ok ist (bis auf das Protokoll), liegt es an etwas anderem. Du kannst ja das logging für diese Regel aktivieren und dich vergewissern, dass eine Verbindung stattfindet.

Dieser liegt bei 1500 Bytes MTU minus 8 Bytes PPPoE - 4 Bytes VLAN, also effektiv nur noch 1488 Bytes MTU bei PPPoE mit VLAN, wie es z.B. bei der Telekom üblich ist.

Die Telekom nutzt eine IP MTU von 1492.

Ethernet maximum frame size

The IP MTU and Ethernet maximum frame size are configured separately. In Ethernet switch configuration, MTU may refer to Ethernet maximum frame size. In Ethernet-based routers, MTU normally refers to the IP MTU.

Frame format

802.1Q adds a 32-bit field between the source MAC address and the EtherType fields of the original frame. Under 802.1Q, the maximum frame size is extended from 1,518 bytes to 1,522 bytes.

Das VLAN-Tagging hat also keinen Einfluss auf die IP MTU, um die es hier wohl geht. Es erhöht nur die "maximum frame size".

Ist das denn egal welche interface id ich nehme?

Ja, solange sie nicht zu groß ist oder doppelt verwendet wird.

IPv4 einstellen

Das wäre unklug. So gut wie alle Websites sind über IPv4 erreichbar, aber selbst einige der wichtigsten Sites sind nicht über IPv6 erreichbar.

dass ich mein LAN in weitere virtuelle LANs unterteile.

Absolut. Es wäre auch von Anfang an angebracht gewesen, da zumindest theoretisch "jemand" einfach die IP-Adresse einer Maschine hätte ändern können.

Show a screenshot of your WAN and Gatway config.

Warum statische Routen in der Fritzbox, warum Ziel: Diese Firewall. Aus letzterem mache WAN-Address.

Allow IP: <my vlan subnet>

This has to be 0.0.0.0/0

**Most Likely Cause**: Bug in OPNsense's WireGuard implementation regarding how forwarded traffic to specific networks is handled.

I don't think so and am suggesting to look elsewhere.

I forgot to mention that I use dynamic DNS for the WAN IPs.

I don't see why that would change anything, yet.
Edit: Ok, I see it. Maybe try OpenVPN instead.
Edit2: Or make the connection from the other side.

Me too.

What is the reason you are asking?