Похоже, РКН использует DPI для блокировки некоторых VPN сервисов. В частности, Wireguard. Но ничего страшного, решение простое. Нужно просто прогнать немного мусора перед установлением wireguard-соединенения, и DPI его уже не сможет опознать. Еще тонкость - мусор надо гонять на тех же портах, по которым будет работать wireguard (в том числе и тот же клиентский порт):
[Interface]
PrivateKey = ....
Address = 10.9.0.2/24
ListenPort = 23123
PreUp = nping --udp --count 1 --data-length 16 --source-port 23123 --dest-port 12345 123.123.123.123
В нашем случае, у нас wg сервер работает на адресе 123.123.123.123:12345, мы фиксируем (через ListenPort) порт на клиенте, чтобы использовался 23123, и через директиву PreUp запускаем nping, который погоняет немного (16 байт) случайного мусора с порта 23123 клиента на wireguard. Наш сервер этот мусор переживет, а вот роскомнадзоровский DPI это запутает.