再次抱歉看 OP 配置是有 tls-auth 的（但是不需要 0 1 ，因为不是点对点），所以可能的问题是两端用了相同的 cert 和 key

抱歉前面写错了，tls-auth 和 tls-crypt 是相似的东西，被封的是 tls handshake ，所以需要额外配置 tls-auth 或 tls-crypt

可能有一个错误：客户端的 cert 和 key ，不应该和服务端的是一样的，但是这里从文件名字来看，可能是一样的。简单的 static key 已经过时了。tls-auth hangshake 很多年前也被封了，但是 OP 只需要额外配置一个 tls-crypt ，给 tls-auth 加个密，就能顺利用到当下

@tool2d 用 INPUT 链试试看？另外，对于 UDP ，是不是要用 REJECT ？不然对方没有出错信息，只是以为“拦截不下来”

为什么一定要在 raw 表中定义 drop ？是出于 drop early drop fast ，从而减少系统开销的考虑？较早的时候 raw 表唯一的功能是给数据包一个 notrack ，所以也许是你的路由器在设计的时候并没有预料到你会这么早 drop 掉数据包？
何不在缺省的 filter 表中试试，给系统预设的硬件加速一个机会？

Shouldn't it be "Network Interfaces" and "Local Processes"?

@PatrickLe 续上，以及 crontab

@PatrickLe @ghostwwg 续上，如果你的胃联通支持 bash

#!/bin/bash
REMOTEIP = $( nslookup your.domain.name | tail -n +3 | sed -n 's/Address:\s*//p' )
if [ ! -e /tmp/remoteip ]; then
echo "${REMOTEIP}" > /tmp/remoteip
fi
OLDIP=`cat /tmp/remoteip`
if [ "$REMOTEIP" != "$OLDIP" ]; then
echo "${REMOTEIP}" > /tmp/remoteip
wg-quick down wg0 && wg-quick up wg0
fi

@PatrickLe @ghostwwg 或者定期检查 wg 的最近握手时间，如果握手时间离当前时间超过上限就重启，比如

#!/bin/bash
a = $( wg show wg latest-handshakes | awk '{print $2}' )
b = $( date +%s)
if [ ("$b" - "$a") -gt 300 ]; then
wg-quick down wg0 && wg-quick up wg0 或者 systemctl restart wg-quick@wg0 之类
fi

有比老破小的吗？ 2006 年的初代 intel mac mini ，7*24 到现在，早就想换了，但是就是不坏。32 位 debian bookworm + xfce ，qemu/kvm 运行了 3 个 alpine ，内存占用不到 1GB
https://imgur.com/BVPtihw

@mumbler #14 十进制一位二进制半个字节都不到，好吧就算浪费点一位一个字节，区区 40MB 就足够了呀，怎么可能 40GB 。就算 60 万亿，30TB 空间就足够了

首先是这个问题，可能是出在没有搞清楚 address 后面的/32, /128 是什么意思。wireguard 的说明文档中说得还是比较清楚的，就是子网掩膜的意思，所以为什么不是/24, /64 呢？
其次是题外话，运营商给了你一个/60 前缀而不仅仅是一个地址，就是为了给你划分多个子网的自由，让你最多 16 个 sites 的设备都有公网 ipv6 地址，运营商负责路由这个/60 网段的所有流量。所以只用其中一个子网中的其中的一个地址，然后像 ipv4 那样 nat ，是不是有点...浪费？
其实很简单，两边都选择一个在这个/60 之内，且在同一子网的 ipv6 地址即可，例如如果前缀是 xxxx:xxxx:xxxx:xxx0::/60 ，那么可以选 xxxx:xxxx:xxxx:xxx1::2/64 和 xxxx:xxxx:xxxx:xxx1::3/64 。其中 1 处可以有 16 种选择，而 2 和 3 的选择就无穷无尽啦。至于动态前缀，理论上似乎也只要相应地动态更新这两个地址即可。更进一步地，可以在一边的 peer 运行 router advertisement, wireguard 的 allowed IPs 设为::/0 ，那么这边的所有设备就都可以连到另外一边，还可以愉快地上网哦，而且，还是纯纯的完全 native 的公网 ip 哦

@XGG0639 是 clients{fe80::5e9:f42b:d836:4626;};
似乎还需要有 prefix ::/64 { }？当然，也有可能缺省也可？
prefix ::/64 {
AdvPreferredLifetime 300;
AdvAutonomous on;
AdvValidLifetime 1800;
AdvOnLink on;
};

续#6 ，当然，要是 VPS 运营商能提供/48 就更好了。但是，貌似没有一家会这么慷慨，能提供/64 的都不多。好几年前听说 linode 是可以免费申请/48 的，但是好像要人工向客服申请，还要向其说明用途，而且基本上是拒绝的