Wireguard esetén annyi az elvárás, hogy legalább az egyik fél tudja a másik elérhetőségét abban az időpontban, amikor kapcsolódni akarnak elsőre. Ha a kapcsolat megvan, akkor onnantól mindkét oldal válthat akár címet is (csak ne egyidőben legyen). A keepalive csomag forrás címét használja az ellenoldal a következő üzenethez, így ha menet közben változik ez a cím, minden megy tovább zavartalanul. Ez mind a két oldalra igaz.
Magyarul ha az egyik oldalnak van egy dinamikus DNS bejegyzése amit frissít (pl. MT esetében jó a "gyári" IP/Cloud DDNS-ük erre a célra), akkor már mehet is a WG. A konfigban nem kötelező megadni a peer-hez az elérhetőségét, ilyenkor vár arra, hogy a peer jelentkezzen. Ellenben meg is lehet adni, és akkor csak attól a peer-től fogad el kapcsolatot (persze ez tűzfallal is korlázotható).
WG-dal több IP (mindkét oldalon több akár) tartomány összekötése problémamentes, ellenben IPsec-kel nem annyira triviális. Vagy annyi tunnel kell, amennyi IP szubnet pár van, vagy a nem mindig és nem minden OS-en működő IPsec policy routing. Sőt, akár a 0.0.0.0/0 is lehet az ellenoldal felé vezető route tartománya. Ami meg jön a WG interfészen, az simán NAT-olható bármerre, mint minden más IP csomag.
Azért írtam, hogy ha nem elvárás az IPsec valami miatt, akkor a WG sokkal egyszerűbb és flexibilisebb, és eddigi olvasmányaim alapján nem alacsonyabb a biztonsága sem.