Wireguard Road Warrior kein Zugriff auf externes Subnetz ohne NAT

[rentibu]

Hallo,

ich bin relativ neu bei OPNsense, mich eingelesen, aber gerade an einem Punkt wo ich nicht weiter komme oder ein Brett vor dem Kopf habe.

Folgendes Szenario:


         Homebase                                                   

       WAN / Internet                                           
            :                                                   
            : Cable-Provider                                   
            :
      .-----+-----.
      |  Gateway |  Fritz!Box 6660 192.168.16.1
      '-----+-----'
            |
            |
        WAN | 192.168.16.2
            |
      .-----+------.   
      |  OPNsense |
      '-----+------'   
            |
        LAN | 192.168.17.1/24
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |           
    ...-----+------... (Clients/Servers) 192.168.17.100
      |  WireGuard |
      | RoadWarrior|    TUN 10.0.7.2
      '-----+------'



         Site 1                                                   

       WAN / Internet                                           
            :                                                   
            : Fiber-Provider                                   
            :
      .-----+-----.
      |  Gateway  |  Fritz!Box 6490 192.168.178.1
      '-----+-----'
            |
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |           
    ...-----+------... (Clients/Servers) 192.168.178.200
      |  WireGuard |
      | RoadWarrior|    TUN 10.0.7.1
      '-----+------'


Ich habe einen Kabelanschluß mit einer 6660 (kein Bridgemode) dahinter hängt die OPNsense mit diversen Clients.
Um dem doppelten NAT aus dem weg zugehen, habe ich unter NAT -> Outbound -> Disable outbound NAT rule generation aktiviert, bzw. dadurch ist ja NAT deaktiviert.
Auf der 6660 (192.168.16.1) habe ich eine statische Route: 192.168.17.0/24 -> 192.168.16.2 eingerichtet, so das die FB weiss, wohin die Pakete für 192.168.17.0/24 müssen.

Ich nutze von einem Client 192.168.17.100 einen WireGuard Client, der sich mit einem WireGuard Server auf Site 1 verbindet. (Es geht hier nicht um WireGuard auf der / einer OPNsense).

Mein WireGuard Client AllowedIPs = 10.0.7.0/24, 192.168.178.0/24, 0.0.0.0/0

Ich kann sowohl das externe Subnetz 192.168.178.0 anpingen, als auch das 10.0.7.0 Netz.
Wenn ich aber im Browser den WebServer eines Clients aufrufen will, dann passiert nichts, d.h. die Webseite  wird nicht angezeigt.

Habe schon auf der OPNsense unter Interfaces -> WAN -> Block private networks deaktiviert und auch die  Block bogon networks.

Leider in meinen Tests ohne Erfolg. Jemand einen Tip? Gerne auch Lösung  8)