LetuchiZ

У меня сделано так: на vdsina.ru арендован самый минимальный vps, на нем развернут CHR. С домашней сети (даже не нужен статический ip) туннель. В домашней сети развернут hmail-server+roundcube. vdsina позволяет самому указать PTR (из админки). 25 порт открывается по письму в тех поддержку. hmail вполне себе поддерживает dkim. SPF и прочее прописано в DNS. обслуживается несколько почтовых доменов, все крутится уже несколько лет. Почта в спамы не попадает, веб-интерфейс и Outlook работают.

Была похожая проблема при развертывании CHR на Hyper-V, решилась включением спуфинга mac-адресов в настройках сетевого адаптера виртуалки. Возможно стоит копать в этом направлении, с PVE дел не имел.

Как вариант использовать Direct Access - решение от M$ из коробки.
Есть минус - нужен отдельный сервер, клиентская ОС не ниже enterprise, хотя W10 enterprise можно сейчас оформить в виде подписки. Работает стабильно. На Хабре есть описание https://habr.com/ru/post/325458/

Может что то из UTM решений? Из бесплатного для небольшой сети российский ideco (до 20 пользователей), либо sophos UTM (вроде до 50).