Wireguard Site2Site von interner OPNsense (1xNIC) zu Hetzner Cloud OpnsenseVM

[WallE]

Hallo Zusammen,

irgendwie stehe ich auf der Leitung gerade. Seit einiger Zeit versuche ich eine neun installierte OPNsense bei Hetzner mit unserer internen OPNsense per Wireguard Site2Site zu verbinden.

Derzeit ist bei uns im internen Netzwerk eine OPNsense mit ca 40 Wireguard Verbindungen aktiv und die funktioniert auch. Eingerichtet sind nahezu sämtliche Wireguard Verbindungen als Site2Site.
Die OPNsense steht hinter einem Lancom Router (172.17.0.254), auf dem sind Portweiterleitungen welche benötigt werden eingerichtet. Diese OPNsense hat nur eine (1) Netzwerkkarte (LAN - 172.17.219.12). Firewall ist daruf nicht aktiviert.
Wir kommen aus dem internen Netzwerk (172.17.0.0/16) auf alle Wiregueard Verbindungen (alles einzelne Netzerke - 192.168.xxx.xxx)

Eingerichtet sind die Wireguard Verbindungen so:
Bei der Instanz wird kein eigenens Tunnelnetzwerk verwendet, sonder eine IP aus dem anderen Netzwerk. Beispiel Instanz "Tunnel Address: 192.168.55.0/24". Die Gegenseite hat in dem Fall das Netz 192.168.55.xxx/24.
Beim Peer ist da dann das Netzwerk eingetragen, "Allowed IPs: 192.168.55.0/24".
Wie gesagt, funktioniert alles ohne Probleme auf diese Art.

Nun soll diese interen Opnsense nicht mehr die Verbindungen der externen Netzwerke erledigen. Daher soll nun eine neue OPNsense bei Hetzner als Cloud Server dies übernehmen. Jedoch soll die interne noch bleiben nur um unser internes Netzwerk zu verbinden und das wir darüber alle anderen Netze erreichen können. Es sollen dann alle Wireguard Verbindungen von der internen auf die externe umziehen. Lokale Wireguard Clients auf den PCs gehen nicht weil es bei uns Netzwerkgeräte gibt welche auch über das Netzwerk funktionieren müssen und es hierfür keine Möglichkeit eines Clients gibt.

Nun habe ich bei Hetzner einen Cloudserver angelegt, darauf OPNsense installiert.
Dieser hat eine Public IP. Zudem ist bei Hetzner noch ein Netzwerk eingerichtet worden (network-1 10.0.0.0/8), darin das Subnet 10.0.0.0/16. In diesem Subnet ist die OPNsense mit der IP 10.0.0.2. Eine Route wurde angelegt: "0.0.0.0/0 - GW: 10.0.0.2"

Ich habe nun schon anhand verschiedener Tutorials versucht die Wireguard Verbindung zwischen diesen beiden OPNsense einzurichten. Es wird jedoch keine Verbindung aufgebaut.
Es wurden alle möglichen Konstellationen der Firewallregeln ausprobiert. Selbst neu installieren und wieder von Null anfangen hat kein Ergebnis gebracht.
Meine Vermutung das irgendwie ein Firewallregel da was blockiert.

Wobei ich noch auf dem Schlauch stehe ist: Wie vergibt Hetzner da die Subnetmask? Warum hat die OPNsense die Adresse: 10.0.0.2/32
Eine oft erhaltene Fehlermeldung im Wireguard LOG ist diese:
/usr/local/opnsense/scripts/Wireguard/wg-service-control.php: The command '/sbin/route -q -n add -'inet' '10.0.0.0/8' -interface 'wg38'' returned exit code '1', the output was ''

Beide Seiten haben eine feste externe IP. Zusätzlich DNS Eintrag gesetzt.

Anbei eine Grafik des Netzwerkes: