Zugriff auf bestimmte Seiten vom LAN nicht möglich

[syhrth]

Hallo liebes Forum,
Ich bin leider ratlos was ein aktuelles Problem angeht. Erstmal die Beschreibung meines Testaufbaus um euch etwas abzuholen (detailliert im Bild zu sehen):
VPS mit öffentlicher IPv4 soll den eingezeichneten Webserver über den Wireguard Tunnel für das Internet erreichbar machen (was soweit auch einwandfrei funktioniert). Möchte jetzt allerdings der Webserver auf bestimmte Internetseiten zugreifen (getestet habe ich reddit.com und speedtest.net), so timed der Browser bei Domains wie z.B. b.cdnst.net aus. Ergebnis ist eine vollkommen unfertig geladene Seite.
Das Problem besteht für jeden Client im 10.11.0.0/24 und 10.10.0.0/24 Netz, unabhängig vom Betriebssystem/Browser. (Ich kann den MikroTik Router als Fehlerquelle ausschließen, da das selbe Verhalten bei meinem PC auftritt, wenn ich ihn in den Wireguard Tunnel also mit IP 10.10.0.3 hänge)
Der VPS mit LiveCD hat keine Probleme die Seiten zu laden.

Zur Konfiguration in OPNSense (bzw Routen und GW auch Mikrotik Router):
- Gateways gesetzt und Routen definiert (Clients im 10.11.0.0/24 müssen den Weg über das Gateway 10.10.0.1 also die OPNSense nehmen, eine andere Route gibt es nicht)
- Firewall Floating: Definierte Port Forwards erlaubt (automatische Regelerstellung)
- Firewall WireguardInterface: 10.10.0.0/24 -> * erlaubt und 10.11.0.0/24 -> * erlaubt
- Firewall WAN: Zugriff auf Wireguard Port erlaubt
- Firewall NAT Outbound Mode Hybrid + 2 manuelle Regeln
---WAN   10.10.0.0/24    *   *   *   Interface address   *   NO   Outbound NAT
---WAN   10.11.0.0/24    *   *   *   Interface address   *   NO   Outbound NAT

Ehrlich gesagt bin ich etwas überfragt weshalb das Setup grundlegend funktioniert (bspw. bild.de, google.de und viele andere Seiten), aber für gewisse Seiten wiederum nicht.
Vielleicht hat von euch noch jemand einen heißen Tipp was das Problem sein könnte, danke im Vorraus

MfG syhrth
P.S.: Da ich den Fehler nicht genauer eingrenzen kann, ist der Beitragstitel etwas unelegant 

[meyergru]

Nur eine wilde Vermutung: MTU / MSS? Du gehst ja über ein VPN, das den Paketen ein paar Bytes hinzufügt. Bei Sites, wo die PMTU discovery nicht funktioniert musst Du dann entweder die MTU verkleinern oder MSS clamping verwenden.

Schau mal hier, ziemlich weit unten auf der Seite: https://www.congenio.de/infos/opnsense.html, das Feature nennt sich Firewall Normalisation, das wendet man für die Wireguard Interfaces an. Bei mir ist mit PPPoE die MSS auf 1360 Bytes limitiert, aber YMMV.

[syhrth]

Eine wilde Vermutung für einen in meinen Augen wilden Fehler. Ich danke dir für deinen Hinweis, daran hatte ich nie gedacht.

Lösung:
In meinem Setup musste ich die MSS im MikroTik und in der OPNSense auf 1460 setzen. (was einer MTU von 1420 entspricht und somit für das Wireguard Interface geeignet ist, dieses wird mit MTU von 1420 gelistet).
In meinem Fall kommt weder IPv6 noch PPPoE dazu, ansonsten muss der Wert weiter reduziert werden.
Ergänzend eine Anleitung um dies im MikroTik zu bewerkstelligen: https://support.ispsupplies.com/portal/en/kb/articles/pmtu-and-mss-discovery-issues-resolved-with-mikrotik
Grüße syhrth