Alexey Dmitriev

Нужно:
1. Обеспечить выдачу клиенту статического адреса через конфигурирование сервера OpenVPN.
2. Настроить разрешающее правила прохождения трафика в iptables.
3. Ниже разрешающего правила закрыть доступ для ip адреса клиента к подсети openvpn в iptables.

При корректно настроенном listen 127.0.0.1:8080 nginx будет слушать порт только на внутреннем интерфейсе loopback и к нему физически не сможет прийти никто кроме 127.0.0.1.
Никакие allow здесь не нужны по факту.

Вам нужно закрыть входящий (INPUT) трафик, кроме трафика, нужного для создания VPN соединения,
закрыть исходящий трафик (OUTPUT), кроме трафика, необходимого для создания VPN туннеля,
закрыть проходящий трафик (FORWARD), кроме трафика клиентов.

Советую создать вам разрешающие правила при политиках ACCEPT (iptables -P блабла - j ACCEPT), а последней строкой добавить -j LOG, тогда вы сможете увидеть в /var/log/messages не описанный правилами трафик и проанализировать его. Когда этот трафик будет проанализирован - можно включать политики по умолчанию в DROP

Нужно обеспечить с помощью настроек openvpn сервера маршрутизацию только нужного трафика в openvpn и закрыть Firewall доступ в интернет для подсети openvpn на сервере

WSL

Использовать -I OUTPUT и ключи -o для указания исходящего интерфейса, -d для указания подсетей и действие -j DROP
Дополнительно можно добавлять нужные исключения.

Улучшит отказ от Proxmox и переход на Linux на сервере и перевод всего софта в Docker.
LXC контейнеры также как и ВМ бронируют определенные ресурсы хоста, но не факт, что полностью их используют/или им в какой-то момент их не хватает.

использовать в fstab и grub.cfg имена разделов типа /dev/sda1 и.т.п При полном клонировании диска они не изменятся.

Да получится, нужно VPN соединение от сервера дома к VPS, а дальше либо NAT в iptables, либо reverse proxy на VDS

teamviewer, rustdesk

"VPN исключен, т.к. он может повлиять на скорость интернета на машинах, а это критично. " - это как?
У вас есть оборудование, чтобы организовать нормальную связь между филиалами, нужно всего лишь не пересекающиеся подсети и настройка VPN соединения между микротиками.
Какое отношение это имеет к скорости Интернет, если вы будете гонять в VPN только нужный вам трафик, который (как например траффик заббикс агентов) все равно пошел бы через Интернет.

Правильное решение вопроса - это VPN между офисами и если есть возможность - размещение zabbix прокси во втором офисе.

Нужно понять - во что превратились LVM в виртуальной машине (подозреваю, что в обычные разделы), используя fdisk, df и т.п.
Затем сопоставить новые имена разделов с LVM и изменить их имена в /etc/fstab и в grub.cfg и подать команду на обновление grub

Упаковать - никак.

Использовать для маршрутизации трафика AllowedIPs

1. Нужно убрать -t filter из всех правил.
Делать
iptables -A INPUT
iptables -A OUTPUT
2. C чего это у вас --dport и в INPUT и в OUTPUT? Это же даже не логично. Если на входе dport, что должно быть на выходе?
3. Стоит проверить в каком состоянии деполтная политика для INPUT и OUTPUT - они вообще у вас в DROP или все-таки ACCEPT

Погуглить “drop ssh connection“

Загрузчик Linux затрется. Нужно будет загрузиться с диска с Linux и восстановить загрузчик