VPN-Verbindungen wann immer möglich auf den Router - oder noch besser - auf eine ausgewiesen Firewall machen.
Was wäre denn besser im Fall von WireGurad, auf einer opnsense als Dienst laufen lassen oder im LAN dafür ein extra wireGuard Server z.B. einen Raspberry nutzen?