Ich hab man einen Wireguard-VPN auf der Fritze eingereicht. Da hat jeder Client eine feste IPv4, die dann über NAT ins Internet geht. (Bei IPsec ist das auch so, soweit ich weiß.)
Kann man dynamisch eine IPv6 bekommen? Die FritzBox selbst ist über v6 erreichbar und kommt auch nativ nach draußen.
Ich hab jetzt keine Ahnung ob die Fritzbox das kann (ich nehm denen immer noch ihr Verhalten bezgl. der Fritzcardtreiber fuer Linux von vor etwas ueber 20 Jahren uebel) - aber das ist in etwa das was ich daheim habe:
Im WLAN gibts nur eine v4-Adresse, und damit kommt man nur ins Internet. Fuer den Rest haben sowohl Telefone als auch Notebooks wireguard - via v4 kommt man da dann an die ganzen internen Sachen, und es gibt eine v6-IP. Fuer Notebooks route ich da dann noch je ein /64 drueber.
Und wo steht in deinem setup der wireguard server?
BTW: Dein Setup hat Ähnlichkeit zu Tailscale. Kennst Du das?
Der wireguard-server ist mein Heimrouter - daher daheim praktisch keine Geschwindigkeits- oder Latenzeinbussen.
Tailscale ist mir bekannt - seh ich aber keinen Nutzen fuer.