Schönen guten Abend miteinander,
wollte euch nur kurz über den aktuellen Stand informieren (und hoffe, dass ich das einigermaßen korrekt wiedergeben kann):
Unser externer Fachmann hat das ganze jetzt über einen zusätzlichen nginx-Reverse-Proxy gelöst.
Wenn ich es richtig verstanden habe, fängt dieser Port 80 und 443 ab, schaut sich die URL an, über die man in unser Netz gekommen ist, und leitet dann bei cloud… an die 10.5.0.1 entsprechend weiter.
Dadurch brauchen wir auch den Port 7344 nicht mehr und können es sowohl intern als auch extern gleichermaßen nutzen.
In der OPNsense gibts jetzt ein NAT für Port 80 und 443 auf den nginx und eine Firewall-Regel bei DMZ, dass die ngnix auch auf den Server darf.
Nochmal vielen Dank für eure Unterstützung! Ich hatte ihm den Thread gezeigt und er hat ihn aufmerksam durchgelesen. 
Liebe Grüße,
Wolfgang