Also ich habe ja eine deutlich andere Konfiguration.
Angefangen damit, das ich DualStack habe, kein DS-Lite oder CGNAT wie du.
Meine pfsense steht Zuhause und zwar direkt an einem Modem.
Dann gibt es noch eine FritzBox. Ebenfalls DualStack, kein DS-Lite oder CGNAT.
Zwischen pfsense und FritzBox besteht ein Wireguard-Tunnel. Eingerichtet wie hier (#Anleitung: Site2Site WireGuard Verbindung zwischen pfSense und FritzBox) beschrieben. Diese Anleitung verzichtet auf das Transfernetz, da Fritten das default nicht unterstützen (man kann es aber jederzeit nachträglich hinzufügen).
Jetzt kommt der große Unterschied: für die mobil Endgeräte (Tablet, Smartphone, Notebook) habe ich einen separaten Wireguard-Tunnel eingerichtet. Und zwar nach dieser Anleitung (https://www.youtube.com/watch?v=IvGjWndvTk0 - englischsprachig aber sehr gut).
Vielleicht solltest du den Ansatz die SIte2Site Wiregurad-Tunnel und die Client2Site Tunnel in ein Netz zu werfen noch einmal überdenken. Diese beiden unterscheiden sich in der Konfiguration doch.
