Wegen solcher Probleme sind auf dem Port Quell- und Zieladressen als einzige zugelassen:
Chain INPUT (policy ACCEPT 6918M packets, 4498G bytes)
pkts bytes target prot opt in out source destination
668K 488M ACCEPT udp * * 2001:db8:c000:40::189 2001:db8:100:b00::4 udp dpt:46157
0 0 DROP udp * * ::/0 2001:db8:100:b00::4 udp dpt:46157
Und wg sagt ja (auf beiden Seiten) „latest handshake: 1 minute, 57 seconds ago“. Auf WireGuard-Ebene scheint es zu tun, nur das Interface WireGuard<>Kernel scheint in 5.4.0 karpott.