Wireguard: может получить доступ к конкретной машине, но не к сети

Я пытаюсь использовать wireguard для доступа к моей офисной сети на xyz.xyz.xyz.0 через сервер wireguard на xyz.xyz.xyz.123.

Конфигурация сервера:

[Interface]
Address = 192.168.3.1/32
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
ListenPort = 50002
PrivateKey = <server private key here>

[Peer]
PublicKey = <client pub key here>
AllowedIPs = 192.168.3.2/32

Конфигурация клиента:

[Interface]
PrivateKey = <client priv key here>
Address = 192.168.3.2/32

[Peer]
PublicKey = <server pub key here>
EndPoint = xyz.xyz.xyz.123:50002
AllowedIPs = 192.168.3.0/24,xyz.xyz.xyz.234/32
PersistentKeepalive = 25

Запуск интерфейса с обеих сторон работает, таблица маршрутизации выглядит ожидаемой, с маршрутом к xyz.xyz.xyz.234 через wg0, я могу подключиться по ssh к xyz.xyz.xyz.234 через сервер wireguard. Отлично. Если я изменю конфигурацию клиента таким образом (и перезапущу соединение):

AllowedIPs = 192.168.3.0/24,xyz.xyz.xyz.0/24

Я ожидаю, что смогу подключиться и к другим машинам в сети. К сожалению, это не работает. Нет пинга, время ожидания ssh. Таблица маршрутизации выглядит хорошо. Может ли кто-нибудь просветить меня, почему это не работает?