ワイヤーガードがクライアントからネットワーク上の他のサーバーにトラフィックをルーティングしない

CentOS 7.6バージョンを使用していて、テストWireguard VPNサーバーをインストールしました。少なくともドキュメントによれば、インストールと設定全体はかなり簡単です。そのため、私がしたことは、wireguard-tools、wireguard-dkms、linux-headersをインストールしたことです。

次のステップは、サーバーの秘密鍵と公開鍵を生成し、サーバーの構成を次のように記述したことです。

[Interface]
Address = 10.7.0.1/24
ListenPort = 34777
PrivateKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx=

[Peer]
PublicKey  = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx=
AllowedIPs = 10.7.0.2/32

[Peer]
PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx=
AllowedIPs = 10.7.0.3/32

[Peer]
PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx=
AllowedIPs = 10.7.0.4/32

[Peer]
PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx=
AllowedIPs = 10.7.0.5/32

サーバー側からファイアウォールのポート34777 udpを開き、sysctl -w net.ipv4.ip_forwardを設定して（転送を有効にするため）、このサーバーはトラフィックをクライアントからVPNサーバーのサブネット内の他のサーバーに転送すると想定します。このサーバーのパブリックIPが11.11.11.11/23だとしましょう

クライアント側では、構成は次のようになります。

[Interface]
Address = 10.7.0.4/24
PrivateKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx=

[Peer]
PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx=
AllowedIPs = 10.7.0.1/32,11.11.11.0/23 (for having route to 11.11.11.0/23 subnet) or 0.0.0.0/0
Endpoint = 11.11.11.11:34777

ここで0.0.0.0/0は、すべてのトラフィックをVPN（必須ではない）に転送することを意味します。これはスプリットトンネルになる可能性があります。 10.7.0.1ですが、ネットワーク11.11.11.0/23からは何もpingできません。ネットワーク11.11.11.0/23はパブリックなので、NATはありません。また、CentOSではiptablesの代わりにfirewalldを使用しています。

トンネルインターフェースの背後にある内部ネットワークが表示されないのはなぜですか。

セットアップがどのように見えるかを示す画像：

追伸写真では、ホストAとWireguardサーバーの間に別のLinuxルーター（メインルーター）があるので、それを覚えておいてください。