Здравствуйте, aik, Вы писали:

aik>(ничего про WireGuard не знаю)
aik>Я б выключил этот впн на роутере и отлаживал только устройство. Мало ли там везде одни и те же ключи, и сервер не может различить устройство и роутер, выдал ip первому, а второго игнорирует. tcpdump на устройстве+роутере+сервере покажет кто не пускает пакеты.

aik>ssh -R123:localhost:123 и на сервере открыть порт 123 — это выглядит проще, чем vpn и настройка nat на сервере
aik>Или устройство получает внешний ip?

Всё оказалось проще — нужно было PersistentKeepalive включить на устройстве.