Mikrotik RouterOS 7 - OPNSense : Richtige Wireguard-Config

Hallo zusammen,

ich bin gerade dabei, meine Haus-IT komplett zu erneuern und steige dabei von der FritzBox auf "was Richtiges" um (RB4011, CRS328-24P-4S+RM, cAP ac´s).
Schritt 1 ist dabei, den RB4011 in meine bestehende Multi-Location-Struktur einzubinden (lies: Wireguard-Tunnel zu OPNSense in der HetznerCloud aufbauen), um dann mit Zugriff auf meinen zentralen RADIUS und weitere Services das lokale Netz aufzubauen & einzurichten.
Doch hier hänge ich aktuell: ich bekomme trotz der hochgelobten, "einfachen" Umsetzung von WG in der ROS7-Beta den ***-Tunnel nicht konfiguriert.

Ausgangslage:

• WG-Peer OPNSense: läuft mit diversen anderen Peers problemlos, wird daher als Fehlerquelle ausgeschlossen. Alle Peers sind ähnlich konfiguriert und unterscheiden sich hauptsächlich in den IPs.
• RB4011: Die Wireguard-spezifischen Einstellungen (Interface + Peer) sind mit den richtigen Werten gefüllt (der Endpoint-Port-Bug scheint ja mittlerweile auch behoben zu sein), ich vermute den Fehler irgendwo in der zusätzlich erforderlichen Konfiguration im System.

Beim Punkt Adressen & Routen, die für die Tunnel einzurichten sind, widersprechen sich mehrere Anleitungen, die ich im Netz gefunden habe; auch eine Brute-Force-Konfig mit allen möglichen Kombinationen, die mir sinnvoll erschienen, war nicht erfolgreich. Höchstwahrscheinlich habe ich einfach nur den berühmten "kleinen Schalter xyz" übersehen, dank dem kein Tunnel aufgebaut wird.
Deshalb würde ich euch um eine "Musterlösung" für die zusätzlich erforderlichen Einstellungen neben WG-Interface & WG-Peer bitten, da ich eine solche weder bei Mikrotik (klar, Beta) noch in den einschlägigen Foren gefunden habe.

Vielen Dank für jede Hilfe!