В общем, задал вопрос с которым почти неделю бился, и сам на него напишу решение.
Кроме настройки фаерволов в которых должно быть всё разрешено и прописи маршрутов на обоих PFSENSE и сервере WG необходимо еще в
серверном конфиге wireguard в конкретном пире прописать AllowedIps.
Изначально в AllowedIps добавляется только адрес клиента. Например:
#Home
[Peer]
PublicKey = <public_client_key>
PresharedKey = <preshared_key>
AllowedIPs = 172.31.0.2/32
#Work
[Peer]
PublicKey = <public_client_key>
PresharedKey = <preshared_key>
AllowedIPs = 172.31.0.3/32
Но для того чтобы пакеты начали двигаться в другие подсети, необходимо у каждого клиента указать
его внутренние LAN, т.е.:
#Home
[Peer]
PublicKey = <public_client_key>
PresharedKey = <preshared_key>
AllowedIPs = 172.31.0.2/32, 192.168.1.0/24>
#Work
[Peer]
PublicKey = <public_client_key>
PresharedKey = <preshared_key>
AllowedIPs = 172.31.0.3/32, 10.10.0.0/24
Повторюсь, Внутренние подсети необходимо прописать только тем клиентам, через которые мы коннектимся к подсетям, а не клиентам
С которых.
Клиенты
С которых необходимо подключиться в внутренним подсетям и которые напрямую подключены к серверу WG (мобильный телефон например) у них в клиентском необходимо разрешить подсети LAN 192.168.1.0/24 10.10.0.0/24