Настройка 3x-ui для перенаправления всего трафика в заданный интерфейс с killswitch

Добрый день!

Помогите, пожалуйста с настройкой 3x-ui (Xray).
Задача следующая: нужно все входящие подключения перенаправлять в поднятый на сервере wireguard интерфейс (wg_out) и поставить защиту (killswitch) от протечки трафика в wan-интерфейс сервера (ens3) на случай если wg_out отваливается или становится недоступен (в этом случае трафик должен просто блокироваться).

Делать для этого отдельный wireguard-outbound в 3x-ui крайне не желательно потому, что интерфейсом wg_out пользуются и другие сервисы, расположенные на сервере.

На первый взгляд, это видится достаточно простой задачей, но я уже сломал себе мозг.
Изначальная идея определить следующий outbound:

{
  "tag": "wg_out1",
  "protocol": "freedom",
  "settings": {
    "domainStrategy": "AsIs",
    "sockopt": {
      "interface": "wg_out"
    }
  }
}

потерпела крах: трафик идёт через wan-интерфейс сервера ens3.

Outbound с sendThrough не работает: трафик не идёт вообще:

{
  "tag": "wg_out2",
  "protocol": "freedom",
  "sendThrough": "{ip интерфейса wg_out}"
}

Также была идея маркировать трафик меткой и далее маршрутизировать его с помощью ip rule/ ip route:

{
  "tag": "wg_out3",
  "protocol": "freedom",
  "settings": {
    "domainStrategy": "AsIs",
    "sockopt": {
      "mark": 1
    }
  }
}

Тут или трафик не маркируется, или ещё что-то, но он опять идёт через ens3.

Подскажите, как решить данную задачу?

https://ntc.party/t/настройка-vpn-для-всей-домашней-сети/9125/25
и следующее сообщение

посмотри по логам что твой новый out вообще используется

Спасибо за ссылку - изучаю.

В части логов: сейчас будет вопрос новичка. А где они есть? Я выставил режим “debug” и смотрю journalctl. В нём ничего не отображается в части маршрутизации.

там прям в 3x-ui должен быть просмотр, делай 1 запрос и смотри лог, там есть названия outbound