I-Net Breakout abhängig von Geolocation über zwei Standorte

[Oldman022]

Hallo an alle hier.
Dies ist mein ersts Posting in dieser community, die mir beim Umstieg auf OPNSense extrem hilfreich war. Dafür zuerst ma lein grosses DANKE für die vielen Inspirationen, die ich hier mitnehmen konnte.
Jetzt hänge ich allerdings an einem (dem im Moment letzten offen) case fest und finde die Lösung nicht, bzw. keiner der Ansätze die ich getestet habe, war erfogreich. Vmtl ist es nur eine kleine Sache, um es dann zum Fliegen zu bekommen, aber ich sehe es nicht und hoffe, dass jemand von den Profis hier das zündende Stichwort parat hat..;)
Mein Konstrukt schaut folgendermassen aus:
- zwei Standorte (einer in D und einer in CH)
- in D ist die Firewall ein OPNSense auf dedizierter Hardware mit einem Default-LAN und weiteren 4 VLAN´s
- in CH befindet sich eine Fritzbox und dahinter ein Bintec-Router nur für die Site-to-Site-VPN´s. Dort hat es nur ein LAN-Segment
- zwischen den Standorten habe ich 4 IPSEc-VPN´s (zwischen OPNSense und dem BINTEC-Router), welche die 4 VLANS in D mit dem LAN in CH verbinden (mit einem Tunnel habe ich es nicht zu fliegen bekommen)

Das Ziel meines aktuellen Topics ist es, wenn von einem User in D eine schweizer Website angesurft werden soll, soll der Breakout ins I-Net über die Tunnel zum CH-Standort und dort ins I-Net erfolgen. Der Standort in CH ist vmtl richtig konfiguriert, da es früher (auf beiden Seiten Fritzbox+Bintec-Router) problemlos funktioniert hat.
Mein Thema scheint zu sein, dass ich in der OPNSense keine lokale IP-Adresse für den Tunnel habe, den ich dann in der Firewallrule als Gateway eintragen könnte.
Ich nutze für die Tunnel den Policy-based Modus, da der mit DynDNS umgehen kann. Wenn ich den anderen IPSec-Modus (Routing-based) nutzen würde, wo ich eine lokale Tunneladresse hätte, tut das wohl laut Docu und auch nach meinen Tests nicht mit DynDNS.

Anbei mal ein Schema des Netzes:

                WAN-D                                          WAN-CH
                :                                              :
                : DynDNS                                DynDNS :
                :                                              :
                :                                          .---------.
                :                                          | Fritzbox| 192.168.2.254
                :                                          '---------'
                :                              192.168.2.199    | 192.168.2.0/24
            .---+-----.  VPN-VLAN10            .---+-----.      |
            |OPNSense +------------------------+ Bintec  | -----|
            '---+-----'                        '---+-----'      |
                |                                               |
                |                                        .----------.
                | VLAN-10=192.168.10.0/24                |  User    | 192.168.2.100
            .----+-----.                                  '----------'
            | User    | 192.168.10.100
            '----+-----'
 

Vielleicht hat jemand eine Idee zu dem Thema... Ich würde mich sehr freuen.

[Oldman022]

Mein Thema scheint wohl doch komplizierter zu sein, als ich dachte....;)