В общем путем нехитрых размышлений рождена схема инфры. Изолированный мост. На нем виртуалки со всем. Одна виртуалка с pfSense который для них гейт в интернет. На нем же haproxy с acl, с поддоменами. Каждая виртуалка на этой проксе поддомен, если надо. Этот гейт подрублен по впн к внешнему серваку в облаке. На внешнем серваке pfSense с порт форвардингом, публикующим порт haproxy в интернет. В впн всего два pfSense хоста и больше никого. Haproxy у меня внутри и не надо мощного внешнего сервака.
Плюсы конструкции в том, что минимум сложностей, связей и внешний сервак можно иметь копеечный, лишь бы потянул pfSense или даже без него...но для однообразия оставлю. Сам pfSense мне придется осваивать, штука огненная, но набор инструментов весь мне знаком. Все делается во всей инфре через UI в таком виде, так что это отдельно упрощает процесс.
Решил еще внутренних локалки сделать две. Одна под личные, одна под паблик сервисы. Обе будут видеть гейт один с хапроксей.
При этом внутренний pfSense может через WAN только добить до внешнего pfSense VPN, остальное отрезано на уровне фаервола proxmox. В итоге виртуалки видят только свою зарезанную локалку и взлом любого из снрвисов, даже любого из гейтов позволит только в локалке куролесить в закрытой. Что и требуется что бы остальное мое домашнее было в безопасности.