Если я все правильно понял, то
1) Самое простое, назначается IP адрес на внешний интерфейс, как это делается всегда.
2) Нужен второй интерфейс (хоть реальный, хоть виртуальный, но отдельный), на который назначить адрес из подсети IPv6. Он и будет GW для всех остальных хостов этой подсети.
3) Зачем нужна проксирующая виртуалка? Надо "конкретной" машине назначить второй белый адрес. Тут нюанс, не уверен что заработает, надо проверить.
Про SSL надо понимать, что каждому домену (сертификату) нужен отдельный IP, при условии работы обоих на 443 порту.