Как настроить wg поверх xtls-reality

Использую десктопный Linux (Arch, KDE6, NetworkManager, systemd-resolved). Основной способ пробития блокировок - Xray-XTLS-REALITY с клиентом Nekoray 4.3.5. Для работы мне нужно поднять туннель WG и сплит-днс, но сталкиваюсь с тем, что даже если в клиенте указать правило для игнорирования рабочих адресов:

{
    "action": "route",
    "domain": [
        "employer.com"
    ],
    "ip_cidr": [
        "192.0.2.0/24",
        "172.16.0.0/12",
        "10.0.0.0/8"
    ],
    "outbound": "direct"
}

Клиент в режиме Tun mode продолжает перехватывать туннель wg. Пинги дефолтного шлюза в пределах 0.1мс, что намекает на локалхост. Что можно сделать в данной ситуации?

Не использовать tun, а проброс порта через inbound direct

Не вижу такой опции в клиенте. Что это и как делается? И почему проброс портов, если мне нужен прямой роутинг в рабочую сеть?

Наверное, там приоритет есть в таблице маршрутизации для такого поведения.
Добавьте статический маршрут для EndPoint тунеля wg через нужный адаптер.

это в json. и всмысле почему? тебе нужно wg поверх vless, я полагаю ты делаешь tun(wg) через tun(sing-box), когда можно делать tun(wg) через проброшеный порт(sing-box), т.е. иметь всего один tun у которого нет конфликтов ни с чем. еще в sing-box есть wg, но он там не полноценный, точнее от тебя будет роутинг, но не к тебе.
Или все же название темы неправильное и тебе на самом деле нужно “wg для работы и nekoray для инета, одновременно, без конфликта”? если так, то можешь создать второй direct outbound и указать там bind_interface:wg0 и в route rule которое у тебя уже есть указать именно этот второй outbound

Можно взять рутованный смартфон с приложением VPN Hotspot, включить на Nekobox и подключить в режиме тетеринга, затем в приложении VPN Hotspot включить перенаправление трафика в туннель

И весь трафик с ПК пойдет в туннель. И там уже wg подключай и что хочешь, изоляция абсолютная