У меня работает USG Max/Ultra с новым Zone-Based Firewall и WireGuard клиент на Ultra. Я столкнулся со значительным ограничением в плане Zone-Based Firewall, заблокированной зоны External. Сейчас, при настройке WireGuard клиента, интерфейс WireGuard автоматически и без возможности изменения попадает в группу зон “External”. Группа зон “External” включает в себя WAN интерфейсы (Primary WAN, WAN2), как и положено. Интерфейс UI файрвола не позволяет переместить интерфейс WireGuard в пользовательскую зону (например, выделенную "VPN" зону), и не предлагает переключатель интерфейса для выбора группы зон файрвола для WireGuard. Это создает несколько проблем: Любые правила файрвола, разрешающие трафик от доверенных VPN пиров, должны быть написаны для всей зоны External, что увеличивает риск. Потенциал случайного открытия трафика WAN, если правила слишком широкие. Сложно безопасно разрешить трафик WireGuard, не открывая непреднамеренно дыры в безопасности WAN. Отсутствие возможности назначения пользовательской зоны сводит на нет одно из основных преимуществ Zone-Based Firewall: чистую, логическую сегментацию. Пожалуйста, рассмотрите следующие улучшения: Разрешить назначение интерфейсов клиентов WireGuard в пользовательские зоны файрвола в UI (а не только в "External" по умолчанию). Добавить переключатель "Интерфейс" в настройке клиента/сервера WireGuard, чтобы переопределить стандартное размещение зоны.

Попробовал это в режиме отладки и это сработало как proof of concept:
iptables -I FORWARD -i wgclt1 -o br3 -p icmp -j ACCEPT

Теперь есть ли другой способ сделать это с нативным WG клиентом?