Всем привет! Помогите, пожалуйста, разобраться с настройкой WireGuard. Есть ВМ

в Google Cloud (в Финляндии), Debian Buster 10, на неё я поставил пакет wireguard, сгенерировал ключи:
umask 077
wg genkey | tee privatekey | wg pubkey > publickey
wg genkey | tee client1_privatekey | wg pubkey > client1_publickey

В /etc/wireguard/wg0.conf прописал:

[Interface]
Address = 10.66.66.1/24,fd42:42:42::1/64
ListenPort = 51194
PrivateKey = wDc45fs***************NSjhF8NK7sjVE=
PostUp = iptables -A FORWARD -i ens4 -o wg0 -j ACCEPT; iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o ens4 -j MASQUERADE; ip6tables -A FORWARD -i wg0 -j ACCEPT; ip6tables -t nat -A POSTROUTING -o ens4 -j MASQUERADE
PostDown = iptables -D FORWARD -i ens4 -o wg0 -j ACCEPT; iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o ens4 -j MASQUERADE; ip6tables -D FORWARD -i wg0 -j ACCEPT; ip6tables -t nat -D POSTROUTING -o ens4 -j MASQUERADE

### Client macbook
[Peer]
PublicKey = vI7nRa/**********/TVT/+jgAY=
PresharedKey = GDwZXP5pl*********B3h1NVraQQ=
AllowedIPs = 10.66.66.2/32,fd42:42:42::2/128

Конфигурация для клиента (MacOS Monterey):

[Interface]
PrivateKey = gPzafWUgh**************NVl9rnGn8=
Address = 10.66.66.2/32,fd42:42:42::2/128
DNS = 1.1.1.1,8.8.8.8

[Peer]
PublicKey = W96MIdp*********QcY7XX6c4NQg=
PresharedKey = GDwZXP5pljs************IfB3h1NVraQQ=
Endpoint = 34.xx.xx.xx:51194
AllowedIPs = 0.0.0.0/0,::/0

И по мелочи (на сервере):
echo 1 > /proc/sys/net/ipv4/ip_forward
nano /etc/sysctl.conf (enable forwarding)
systemctl enable wg-quick@wg0
systemctl start wg-quick@wg0

После этого я смог подключиться к серверу WG (на маке юзал cli-пакет wireguard-tools из homebrew). По крайней мере, судя по выводу с сервера:
root@server: # wg show
interface: wg0
public key: W96MIdpKeu***************Y7XX6c4NQg=
private key: (hidden)
listening port: 51194

peer: vI7nRa/yYX1****************/TVT/+jgAY=
preshared key: (hidden)
endpoint: 46.39.239.72:65168
allowed ips: 10.66.66.2/32, fd42:42:42::2/128
latest handshake: 36 seconds ago
transfer: 1.83 MiB received, 6.75 MiB sent

Та же команда, только на клиенте макбуке:

nikita@MBP:~% sudo wg show
interface: utun3
public key: vI7nRa*************M/TVT/+jgAY=
private key: (hidden)
listening port: 65168

peer: W96MId********Y7XX6c4NQg=
preshared key: (hidden)
endpoint: 34.хх.хх.хх:51194
allowed ips: 0.0.0.0/0, ::/0
latest handshake: 1 minute, 2 seconds ago
transfer: 1.75 MiB received, 956.77 KiB sent

Они, получается, видят друг друга. И если по 2ip.ru чекнуть или дёрнуть curl https://httpbin.org/ip, то IP отображается там правильный, т.е. VPNa. Также скорость инета при подключенном WG несколько ниже (тестил через iperf3, получил 100 Мбит/с против 500 Мбит/с без WG).

Т.е. он вроде бы работает. Но вот беда - заблоченные РКН сайты так и не открываются до сих пор, даже через WireGuard! Либо connection refused/timeout на них, либо открывается плашка провайдера о блокировке ресурса. Да, и одновременно с этим 2ip.ru показывает мне, что я в Финляндии с другим айпишником. Что за хрень, братцы, куда копать?

Ставил как вручную по мануалам (сначала), так и с помощью скрипта потом - https://github.com/angristan/wireguard-install Никакой разницы, подключение вроде есть, но от блокировок не спасает...

Why??

закреп

А ведь конфиг можно было и в пасту залить