Дело в том, что апач не знает ничего про внешние адреса, но его можно научить
Настроить в апаче модуль remoteip
конфиг модуля приблизительно такой
RemoteIPHeader X-Real-IP
RemoteIPInternalProxy 127.0.0.1 10.10.10.10 итд все локальные адреса сервера где установлен хапрокси
в формате лога апача для редмайн поменять %h на %a, чтобы fail2ban брал правильные внешние адреса для блокировки
если не получится с заголовком X-Real-IP попробуйте поменять на X-Forwarded-For в апаче и
option forwardfor header X-Real-IP на option forwardfor на фронтенде хапрокси