Прежде всего связь не имеет к этому никакого отношения, и в основном упражнение состоит в том, чтобы использовать правило ip, которое просматривает другую таблицу маршрутов (состоящую из маршрута по умолчанию с разработчик wg0) для всех трафика из эт1.
IP-маршрут добавить по умолчанию dev wg0 таблицу 123
ip правило добавить iif поиск eth1 123
(Номер 123 является произвольным. Вам нужно будет уточнить их, если вы, например. хочу эт1 хосты, чтобы иметь возможность связаться с eth0 хосты.)
Конечно, IP-переадресация также должна быть включена (sysctl) и разрешена (брандмауэр, если он есть).
Затем вы решаете, хотите ли вы использовать маскарад/NAT для эт1 IP-подсети или добавьте для нее обратный маршрут на сервере wireguard. Последнее рекомендуется, когда это возможно, и одна из причин заключается в том, что вам в любом случае потребуется маскировать / NAT на сервере wireguard (для любого 10.1.1.2 или эт1 IP-подсети), если вы хотите использовать один из его интерфейсов для подключения к Интернету. (Количество слоев NAT должно быть минимальным.)
(Я предполагаю, что 10.1.1.2 это IP-адрес WG на Pi. Непонятно, какую конфу вы показали.)
Убедитесь, что эт1 IP-подсеть не конфликтует ни с одной, используемой на сервере wireguard, если вы решите не использовать NAT для нее на Pi. Также необходимо добавить подсеть в Разрешить IP-адреса = в этом случае на сервере wireguard.
Скорее всего, вы должны использовать PostUp= для вышеупомянутой настройки, так как я не уверен, есть ли у netplan способ указать это. (Добавленный маршрут должен исчезнуть, когда WG0 исчезло, поэтому вам нужно только удалить правило ip с помощью Предварительно/постдаун=.)
РЕДАКТИРОВАТЬ: вам, вероятно, следует использовать Таблица=выкл. в конфигурации клиента, если вы не хотите, чтобы собственный трафик Pi также шел в туннель.
