AUser0

Так ведь просто:

location /wiki/ {
  set $new_uri $request_uri;
  if ($new_uri ~ ^/wiki/(.+)$) {
    set $new_uri $1;
  }
  proxy_pass http://192.168.9.254:8090/$new_uri;
}

А документацию читать - не пробовали? Ну так, в виде исключения из правила "городи как вздумается, и пофиг"?

На проксирующем Nginx обязательна к указанию опция proxy_protocol on;

/zabbix.php? Серьёзно? А по локальному IP такой /zabbix.php прям существует, работает?

Во-первых, любой файл через WEB именно скачивается, просто браузер по Content-type различает содержимое файлов, и HTML отображает на экране, звук и видео проигрывает, а .EXE или .ZIP сохраняет на диск.

Просто добавьте к именам файлов 401 и т.д. полноценное расширение .html. Ну и поправьте конфиги/скрипты на использование новых имён.

Вот так сделайте:

location / {
  if ($args = "selected_section=discussion") {
    return 301 $scheme://$host$uri;
  }
  return 404;
}

/etc/nginx/html/admin/
/home/html/admin/
- это разные пути, совсем разные.

И ещё, /interview должен открывать файлы из /home/html/, но вы написали про 404 /home/html/admin/ - как так?

ssl_certificate /etc/letsencrypt/live/<ИМЯ_ДОМЕНА>/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/<ИМЯ_ДОМЕНА>/privkey.pem;

Разумеется <ИМЯ_ДОМЕНА> заменить на реальное имя директории в /live/.

В location / сделайте:

if ($http_user_agent ~* "(bingbot|petalsearch|semrush|mj12bot)") {
    return 403;
}

Ну это если по быстрому, без fail2ban.

А что если попробовать telnet back.domain.com 443? Есть определение IP, есть коннект на него?

Смотрите error.log Nginx-а, находится по пути /var/log/nginx/error.log. Там ошибка написана, в том числе её причина.

СведИте все server{} под один http{}.

В скриптах форума поменять $_SERVER['REMOTE_ADDR'] на $_SERVER['X-FORWARDED-FOR']. Можно по условию

$client_ip = ($_SERVER['REMOTE_ADDR'] == "127.0.0.1" && !empty($_SERVER['X-FORWARDED-FOR']) && filter_var($_SERVER['X-FORWARDED-FOR'], FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE))? $_SERVER['X-FORWARDED-FOR'] : $_SERVER['REMOTE_ADDR'];

Конкретно Nginx на это значение повлиять не может от слова "совсем". Как и любой другой HTTP-сервер. Это номер порта, с которого создавалось TCP-соединение, и который был случайно выбран браузером пользователя. В случае VPN-канала - случайно выбран VPN сервером, обеспечивающим работу канала.

Настраивать, влиять, конфигурировать это случайное значение - не надо. Даже задумываться об этом - не имеет смысла.

P.S. Хоть бы погуглили сначала, что же это такое. Ну хотя бы ради интереса, а...?

DNS сервер у вас, на соседнем сервере? Тогда настраиваете на нём certbot на валидацию по DNS TXT записи, sh-скриптом подсовываете (есть в certbot такая возможность) запись в конфиги нужного домена - вуала, профит!

DNS не под контролем? Тогда на всех WEB-серверах проксируете все файловые /.well-known/acme-challenge/* запросы на сервер с certbot, настраиваете список директорий под каждый сервер, из certbot sh-скриптом (возможность ни куда не делась) ложите в нужную директорию файл с проверочным кодом - вуаля, профит!

Потом останется только sh-скриптом скопировать свежие сертификаты на соответствующие сервера - и вуаля, уже второй профит! Куда большей сложностью является правильная работа с пользователями на удалённых серверах, без хранения паролей на certbot-овом сервере...