Zugriff auf Nextcloud aus dem LAN und Internet

Genau so habe ich es versucht und habe dazu unter Unbound DNS -> Overrides folgenden Eintrag gemacht:
nextcloud.mydomain.de mit der lokalen IP des Servers auf dem Nextcloud läuft.
Damit Nextcloud auch von extern erreichbar ist, habe ich einen A-Record ( ich nutze desec.io) gesetzt:
nextcloud.mydomain.de mit der WAN IP der OPNsense und mittels Port Forward die Ports 80 & 443 auf den lokalen Nextcloud Server weitergeleitet.

Das Problem ist, sobald ich für den Zugriff von außen den A-Record anlege, erreiche ich vom LAN meine Nextcloud nicht mehr ("Seiten-Ladefehler"), und ich verstehe nicht warum?

Nach meinem Verständnis davon wird bei einem Aufruf der URL nextcloud.mydomain.de der DNS Server von desec.io nach der IP befragt und damit an den WAN Port meiner OPNsense weitergeleitet, welche dann die Anfrage aufgrund des Port Forward an den Nextcloud Server durchgeleitet wird.
Bei einem Aufruf von nextcloud.mydomain.de aus dem LAN wird die IP von dem Unbound DNS der OPNsense aufgelöst und sollte damit die Anfrage intern an den Nextcloud Server weiterleiten, aber da hängst dann wie oben beschrieben?

Dies war meine ursprüngliche Idee, allein schon wegen des Handlings der Let's Encrypt Zertifikate.
Aber HAProxy ist für mich völliges Neuland und um ehrlich zu sein, ich habe schon mehrere Tage gebraucht nur um rauszufinden was HAProxy eigentlich ist und das auch nur in groben oberflächlichen Zügen.
Die ganzen Howtos die ich dazu gefunden habe, auch das og., beschreiben was man wo einstellen soll, aber damit habe ich es bei mir nicht umgesetzt bekommen und warum was so konfiguriert wird, also die technischen Zusammenhänge werden leider nirgendwo so erläutert dass es ein HAProxy Anfänger verstehen kann. Ich würde es gerne verstehen, aber ich finde irgendwie keinen Zugang zu dem Thema.

VG

Wenn ich aus dem LAN nextcloud.mydomain.de anpinge, dann bekomme ich eine Antwort und die lokale IP des Nextcloud Servers wird auch richtig aufgelöst.
Wenn ich aus dem Internet nextcloud.mydomain.de anpinge, dann bekomme ich keine Antwort weil OPNsense ICMP auf dem WAN Port nicht beantwortet, aber die öffentliche IP wird richtig aufgelöst.
Sieht soweit in Ordnung aus?

Nee, die öffentliche IP der OPNsense sollte doch zurückgegeben werden, nach meinem Verständnis ist das so:
Der LAN Port der Fritzbox an der die OPNsense hängt ist als sog. Exposed Host konfiguriert und am WAN Port der OPNsense ist die öffentliche IP gesetzt. D.h. Anfragen an meine öffentliche IP werden von der Fritze direkt an die OPNsense weitergeleitet, die Fritze funktioniert in diesem Fall nur wie ein Modem. Deshalb wird bei einem ping auf die domain die öffentliche IP der OPNsense zurückgegeben.
Ja, wie oben beschrieben, wird via Overrides unter Unbound DNS die Domain für interne Aufrufe intern weitergeleitet.

Ja, das ist der Punkt den ich auch nicht verstehe.
Ja, der Zugriff von außen klappt damit.

Habe eine weitere Beobachtung machen können:
In Ermangelung eines Mobilfunknetzes vor Ort, nutze ich ein VPN (NordVPN) um den Zugriff von außen zu testen, dabei konnte ich wiederholt folgendes beobachten. Wenn ich aus dem LAN nextcloud.mydomain.de/nextcloud aufrufe funktioniert die interne Verbindung. Danach stelle ich eine VPN Verbindung her und rufe von 'extern' die domain nextcloud.mydomain.de/nextcloud auf, das funktioniert ebenfalls. Wenn ich dann aber die VPN Verbindung trenne, funktioniert der Zugriff von 'intern' nicht mehr - vielleicht liegt da der Hase im Pfeffer?

Ich hab das Problem gefunden.
Nachdem ich verschiedene Browser, Rechner, Tablets usw. ausprobiert hatte, war klar das es an meinem Browser liegen mußte. Bei meinem Firefox war 'DNS über HTTPS' aktiviert, nach dem ich es deaktiviert hatte funktionierte die Verbindung extern wie intern, so wie es von Anfang an hätte sein sollen - was ein Ärger

Vielen Dank für Eure Hilfestellung!

VG Pete