Ich betreibe einen WireGuard-VPN-Client auf einer UCG Max, der sich erfolgreich mit einer pfSense auf einem Hetzner-Server verbindet.
Der Tunnel steht, Handshake funktioniert, Internet über die pfSense funktioniert ebenfalls.
Leider komme ich alleine nicht mehr weiter! 
Ziel:
Nur ein bestimmtes Gerät (Linux-Laptop am Port 3 der UCG Max) soll komplett durch den WireGuard-Tunnel der UCG Max ins Internet geleitet werden (Full Tunnel / Policy-Based Routing).
Status:
Linux-Gerät hängt per Kabel direkt an der UCG Max
Gateway des Geräts = 192.168.1.1 (UCG Max)
UCG Max zeigt das Gerät korrekt an
WireGuard-Client auf der UCG Max ist Verbunden
pfSense NAT/Firewall sind korrekt
pfSense kann mit Source = wg0 problemlos ins Internet
AllowedIPs = 0.0.0.0/0 im WG-Client
UniFi-Richtlinien erstellt:
Source = konkretes Gerät
Destination = VPN
Allow
Zone des Geräts passt zur Richtlinie
Trotzdem geht KEIN Traffic in den Tunnel
Symptom:
traceroute 8.8.8.8 vom Linux-Client:
Hop 1: 192.168.1.1 (UCG Max)
Hop 2: — (keine Antwort)
Keine Weiterleitung in den WG-Tunnel.
Was NICHT geht:
Eintragen des Full-Tunnel-Zielbereichs 0.0.0.0 → 255.255.255.255 (UCG Max blockiert dies)
„Beliebig“ als Ziel wird NICHT als Full-Tunnel interpretiert
Richtlinien alleine leiten NICHT in den Tunnel
Zonenänderung bringt keine Änderung
pfSense empfängt keinerlei Traffic aus dem UCG-WG-Interface (außer Handshake)
Vermutung:
Der UCG Max routet generell keinen Traffic in den WireGuard-Client, weil im Hintergrund keine Route/Gateway-Bindung erzeugt wird oder in „Advanced“ eine nötige Routing-Option fehlt.
Frage an die Community:
Wie erzwingt man auf der UCG Max, dass ein bestimmtes Gerät (oder gesamtes Subnet) wirklich durch den WireGuard-Client geroutet wird?
Gibt es versteckte Einstellungen (Routing Mode, Advanced Options etc.), die UniFi nicht automatisch setzt?