Оказалось, что для днс+впн уже есть готовая сборка на диджитал океане pi-hole vpn. Как раз с вайргардом унутре. Так что все и тут будет не сложно пока не понадобится выставить через реверс проксю мастодон из впн...но разберусь поди. Надо признать iptables я знаю плохо, придется почитать доки, вспомнить чем маскарад от маршрутизации отличать.
Если все так же легко пойдет, я все же кубер подниму, развлекаюсь я или где?!
Я думал, думал и все понял! Что бы выставить наружу мастодон я просто подниму второй реверс прокси отдельный на внешнем интерфейсе. Уже голову ломал со всякими сложностями. Не надо сложностей, проще, лучше.
@dafedotov прокся проще в управлении, дырок меньше. Так можно и портфорвардинг сделать в принципе с машины из род стола на впн роутер в сети.
@3draven эмм, а инстансу обязательно нужна прокся? Типа ради tls? А нельзя все неободимое на ней как раз и прописать? Вообще, конечно, второй прокси будет попроще в настройке и поддержании этого всего в рабочем состоянии.