Eu consegui trabalhar com a ajuda dessa postagem no blog que também aborda como configurar um servidor dns para impedir que o cliente dns tráfego de vazamento fora do túnel.
O principal problema foi a configuração incompleta do filtro / nat no servidor. A postagem abrange os comandos necessários do iptables. Desde que o ufw foi já está usando para coisas simples como ssh e eu não queria para tentar converter tudo para um formato, acabei de combiná-los. Isso funcionou para uma nova gota rodando o Ubuntu 16.04. Também testado em meu sistema Ubuntu 14.04 original, onde eu tive que adicionar um adicional regra do ufw:
ufw route permite entrar na wg0 a partir de 10.200.200.2 na eth0
aparentemente porque, por algum motivo, as políticas padrão para entrada e encaminhamento foi definido para DROP.