В настройках виртуальной машины отключите синхронизацию времени через vmware-tools.
Если время на одной машине убегает на несколько минут - это не связано ни с настройками часового пояса, ни с влючением\отключением синхронизации времени через ntp.
Вы можете выпустить LE сертификат вручную, без плагина nginx. А в конфигурационном файле nginx прописать настройки server ssl и путь к сертификату и ключу. Информация как это сделать есть в соответствующей документации.
Ответ на ваш вопрос "Что с этим делать?" - использовать поиск, прежде чем задавать вопрос, как минимум по этому сайту, и что кстати написано в правилах, которые вы принимали при регистрации.
Самый простой вариант-отключить DHCP на втором роутере, выдать ему ip из невыдаваемого через DHCP пула на первом роутере и соединить кабелем LAN порты двух роутеров.
SSL сертификаты привязаны к доменным именам. Для IP можно выпустить только самоподписанные, но с публичной инфраструктурой типа Telegram связаться они не помогут.
IMHO - проще всего купить дешевый домен и использовать Let Encrypt для выпуска сертификатов.
IMHO, вы путаетесь в понятийном аппарате.
DNSleaktest вам вообще здесь не нужен.
whoer.net говорит вам, что вы используете стандартный небезопасный протокол DNS.
Чтобы он вам перестал это говорить - нужно перейти на любой безопасный протокол DNS - DNS over TLS или DNS over HTTPS.
Разверни Tor ноду на VPS, настрой выход из определенной нужной страны, и закрой доступ к её socks5 прокси отовсюду, кроме туннеля wireguard. Используй socks прокси для доступа к ресурсам.
В варианте с БД мне кажется единственный вариант избежать длительного простоя - это настраивать репликацию БД в новые ВМ и потом переключать работу сервисов на новые БД.
Хосты для ProxMox кластера не обязательно должны быть с одинаковой аппаратной конфигурацией.
Важно - чтобы процессоры инструкциями не особо сильно отличались и архитектура их совпадала.