Судя по симптомам - везде. На виртуалке всего траффика, идущего в гейтвей, на некротике всего траффика, идущего в виртуалку. И в мангл правило сразу добавьте условие, исключающее пакеты, идущие от вашей виртуалки. В будущем, когда начнёте настраивать по листам, поможет избежать закольцовывания. Но вообще ИМХО гораздо проще настроить схему, где в самом xray поднимается wireguard inbound в кач-ве входного интерфеса. Накладные расходы на него околонулевые, а настройка становится сильно проще.
Я вот тут расписывал. Там правда xray живёт в контейнере в самом некроте, но смысл тот же