радость недели:
я смог ручками завернуть трафик с сети одного стака контейнеров через VPN, теперь почта будет отправляться с правильного IP

пришлось поебаться с двумя nftables, ip rule + ip route (условную маршрутизацию я вообще в первый раз потыкал), и что сука характерно со всем этим я справился с первого раза

но час потом ебался из-за того, что wireguard тихо реджектит пакеты которые не попадают под AllowedIPs, а я думал что накосячил с первыми шагами