Добавьте ещё один порт в пробрасываемые контейнеру
-p 3658:3658/udp \
А в самом контейнере надо после каждого его старта/рестарта добавлять правило iptables:
sudo nsenter -n -t $(docker inspect -f '{{.State.Pid}}' wg-easy) iptables -t nat -A PREROUTING -d $(docker inspect -f '{{range .NetworkSettings.Networks}}{{.IPAddress}}{{end}}' wg-easy) -p udp --dport 3658 -j DNAT --to-dest 10.8.0.2:3658
sudo nsenter -n -t $(docker inspect -f '{{.State.Pid}}' wg-easy) iptables -t filter -A INPUT -p udp -d 10.8.0.2 --dport 3658 -j ACCEPT
Правила можно собрать в один шелл скрипт и запускать его одной командой.
P.S. NFS Underground 2 очень плохо себя вёл при джиттере.