OPNSense liefert falsches LE-Cert, wenn Wireguard-Tunnel aktiv ist...

[white_rabbit]

Hallo.
Gestern fiel hier ein seltsames Problem auf: Wir haben eine OPNSense mit Wireguard.
Kollege X rief an seinem Rechner die Adresse https://nextcloud.unsere-domain.de auf und bekam jedes Mal einen Zertifikatsfehlerfehler, der besagte, dass das ausgestellte Zertifikat nicht von nextcloud.unsere-domain.de sondern von firewall.unserer-domain.de (also der OPNSense selbst) stamme. Sobald der Tunnel deaktiviert wurde, lief es.

Das ganze hat vermutlich damit zu tun, dass wir im internen Netz aus div. Gründen ebenfalls unseren FQDN verwenden -- allerdings ist mir trotzdem nicht klar, warum die OPNSense beim Zugriff auf die Adresse nextcloud... (die bei uns im internen Netz liegt!) das falsche Zertifikat verwendet!?

Wenn der VPN-Tunnel deaktiviert ist, funktioniert es ja auch ... wo steckt hier der Fehler?