dhcp durch openvpn tap funktioniert auf einmal nicht mehr

jp.otto

Hallo,
ich betreue u.A. eine Schule mit zwei Standorten, die über ein VPN (openvpn über tap) verbunden sind. An beiden Schulen gibt es diverse VLANs, der DHCP-Server ist in einem dieser VLANs an der Hauptstelle der Schule.
Bisher funktionierte das auch, bis ich jetzt wegen Bauarbeiten die Firewall an der Hauptstelle abschalten und neu starten musste.
Ich kann nachverfolgen, dass die dhcp Anfragen an den Server geleitet werden und dieser mit einem DHCPOFFER antwortet. Dieses sehe ich auch noch in der Aussenstelle im ovpnc - Interface ankommen, es wird aber nicht in das korrekte VLAN weitergeleitet. Adressiert sind die DHCPOFFER wie üblich an die IP der Firewall in dem jeweiligen VLAN. Beispiel:

(tcpdump von ovpnc2)
11:34:54.537249 IP (tos 0x0, ttl 64, id 60795, offset 0, flags [none], proto UDP (17), length 328)
    192.168.250.2.bootps > 10.175.0.10.bootps: BOOTP/DHCP, Request from 00:11:22:33:44:55 (oui Unknown), length 300, hops 1, xid 0xc821c667, secs 45339, Flags [none]
	  Gateway-IP 10.178.2.1
	  Client-Ethernet-Address 00:11:22:33:44:55 (oui Unknown)
	  Vendor-rfc1048 Extensions
	    Magic Cookie 0x63825363
	    DHCP-Message Option 53, length 1: Discover
	    Client-ID Option 61, length 7: ether 00:11:22:33:44:55
	    Requested-IP Option 50, length 4: 10.178.2.44
	    MSZ Option 57, length 2: 576
	    Parameter-Request Option 55, length 8: 
	      Subnet-Mask, Default-Gateway, Domain-Name-Server, Hostname
	      Domain-Name, BR, NTP, Vendor-Option
	    Vendor-Class Option 60, length 4: "something"
	    Hostname Option 12, length 7: "name"
11:34:54.561524 IP (tos 0x0, ttl 63, id 52995, offset 0, flags [DF], proto UDP (17), length 328)
    10.175.0.10.bootps > 10.178.2.1.bootps: BOOTP/DHCP, Reply, length 300, hops 1, xid 0xc821c667, secs 45339, Flags [none]
	  Your-IP 10.178.2.44
	  Server-IP 10.175.0.10
	  Gateway-IP 10.178.2.1
	  Client-Ethernet-Address 00:11:22:33:44:55 (oui Unknown)
	  Vendor-rfc1048 Extensions
	    Magic Cookie 0x63825363
	    DHCP-Message Option 53, length 1: Offer
	    Server-ID Option 54, length 4: 10.175.0.10
	    Lease-Time Option 51, length 4: 43200
	    Subnet-Mask Option 1, length 4: 255.255.255.0
	    Default-Gateway Option 3, length 4: 10.178.2.1
	    Domain-Name-Server Option 6, length 4: 10.175.0.10
	    Domain-Name Option 15, length 14: "something.de"

vs.:

(tcpdump von Ziel-VLan)
11:34:54.537183 IP (tos 0x0, ttl 64, id 0, offset 0, flags [none], proto UDP (17), length 328)
    0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 00:11:22:33:44:55 (oui Unknown), length 300, xid 0xc821c667, secs 45339, Flags [none]
	  Client-Ethernet-Address 00:11:22:33:44:55 (oui Unknown)
	  Vendor-rfc1048 Extensions
	    Magic Cookie 0x63825363
	    DHCP-Message Option 53, length 1: Discover
	    Client-ID Option 61, length 7: ether 00:11:22:33:44:55
	    Requested-IP Option 50, length 4: 10.178.2.44
	    MSZ Option 57, length 2: 576
	    Parameter-Request Option 55, length 8: 
	      Subnet-Mask, Default-Gateway, Domain-Name-Server, Hostname
	      Domain-Name, BR, NTP, Vendor-Option
	    Vendor-Class Option 60, length 4: "something"
	    Hostname Option 12, length 7: "name"

Beide pfSense sind auf der aktuellen Version (2.4.5-p1).
Ping funktioniert übrigens in beiden Richtungen zwischen dem Server und Clients im fraglichen VLAN und die Firewall hat auf den OpenVPN - Interfaces "allow all" konfiguriert.

Hat jemand eine Idee, wo ich nach dem Fehler suchen kann?