Andrey Barbolin Sand Спасибо всем за помощь. Пришел вроде к хеппи энду. Могу теперь достучаться и до wireguard клиентов из локалки и наоборот. Оказывается keenetic по дефолту блокирует межсетевым экраном хождение туда обратно между локальными подсетями. Можно даже не отделять raspberry в отдельный сегмент, ассиметричной маршрутизации похоже не возникает, как сказали в поддержке кинетика хотя сервер отправляет пакет напрямую а получает от кинетика это on-link сеть, непосредственно подключённая к серверу. Трафик на кинетике по умолчанию натится на любой интерфейс