Снятие fwmark с трафика отдельного приложения для его маршрутизации мимо WireGuard

Raspberry Pi OS (Debian-подобная). На борту по умолчанию nftables. К iptables прибегать принципиально не хочется, т.к. вся остальная логика фаервола успешно построена именно на nftables.

В качестве VPN-клиента для маршрутизации всего трафика через далекий сервер используется WireGuard. Так как WireGuard не славится обфускацией (ее нет и не планируется), хочу пустить подключение к серверу WireGuard через отдельное приложение (I2P). Чтобы WireGuard работал через I2P, I2P должен работать напрямую через провайдера, не замыкаясь в мертвую петлю на WireGuard.

По теме "bypass wireguard" нашел это: https://www.reddit.com/r/WireGuard/comments/fr95qx/howto_bypass_wireguard_vpn_for_specific/. Не смог реализовать на nftables. Пробовал еще кучу всего по советам и выдаче поисковика.

Пришла мысль такая: WireGuard не удаляет default gateway из системы, а маркирует весь трафик маркером (fwmark), который затем, насколько я понимаю, обрабатывается ОС в пользу WireGuard. Если так, могу ли я по UID пользователя удалять маркер WireGuard с трафика приложения, чтобы направить его через свой шлюз по умолчанию?

Пробовал skuid 111 meta mark set 0;, где 111 - ID пользователя, от которого запускается I2P роутер. Добавлял в filter output (а потом и в другие места /etc/nftables.conf) - безрезультатно.

Подскажите насколько реальна моя задумка. В любом случае буду рад узнать как корректно направить трафик одного приложения мимо WireGuard.