connect via спроектирован так, что исходящий трафик он стремится пускать по определенному WAN, но входящий разрешен отовсюду. Для ZT такое поведение, конечно, недопустимо - он лезет везде. Для Wireguard, учитывая, что он сам всегда является инициатором обмена - это ок.