brar

В настройках AD (dns-сервера), разрешите запросы из другой подсети). Плюс. возможно, потребуется прописать обратную (PTR) адресацию для этой подсети.

Вопрос требует конкретики. Как мимнимум какой гипервизор на дедике. Этого даже по тегам нельзя понять.
Голый qemu/kvm/libvirtd? LXC контейнеры? VMWare? Proxmox? Hyper-V?
И у каждого из этих есть свои два-три варианта решения вашей задачи. Это если не считать еще, что вы можете подннять виртуальный роутер на этом же дедике, который будет рулить трафиком.

ssh-keygen -R ip_address_of_clone

Попробуйте свой бот в телеге. Уведомления на порядок удобнее и оперативнее, чем почта.
Опишу для debian. (для других дистров не будет сильно отличаться). Если не Вам, то может кому-то другому пригодится всё готовое:
Создаеете файл /usr/local/bin/telegram_alert.sh со следующим содержимым:

#!/bin/bash
KEY="АПИ_КЛЮЧ:ВАШЕГО_БОТА"
URL="https://api.telegram.org/bot$KEY/sendMessage"
TARGET="айдишник_контакта_или_группы_куда_слать_уведомления"
DATE1="$(date "+%H:%M:%S")"
DATE2="$(date "+%d %B %Y")"
GEO="$(curl ipinfo.io/$PAM_RHOST)"
TEXT="*$PAM_USER* залогинился на *$HOSTNAME* 
Время: $DATE1
Дата: $DATE2
Адрес: $PAM_RHOST
Service: $PAM_SERVICE
TTY: $PAM_TTY
GEO: ${GEO}"
PAYLOAD="chat_id=$TARGET&text=$TEXT&parse_mode=Markdown&disable_web_page_preview=true"
curl -s --max-time 10 --retry 5 --retry-delay 2 --retry-max-time 10 -d "$PAYLOAD" $URL > /dev/null 2>&1 &

В файл /etc/pam.d/sshd добавляете/редактируете строчку:

session optional pam_exec.so type=open_session seteuid /usr/local/bin/telegram_alert.sh

Будете получать вот в таком виде:


Как создать своего бота - это отдельный вопрос. И он очень лёгок, а инструкций в сети полно.

Я не любитель комбайнов и "коробочных" решений, но ClearOS, думаю, вас устроит.

3 вариант, без ДНС-сервера.
сервер1 <---vpn--->сервер2 <--->дикий интернет.
На сервере 1 в качестве шлюза для dest 443 и 80 портов (и других по желанию) ставится сервер2.
На сервере2 SNAT-им сервер1 в мир, и DNAT-им входящий из мира трафик на 443 и 80 порт на сервер1. В настройках днс-зоны делаем запись А на айпи-адрес сервера2.

4. Вариант. Тоже без днс.
nginx или haproxy на сервере2 в качестве reverse proxy. 443 и 80 валим на сервер1.

Принцип работы опишу, но Вам под себя подпилить придется.
Записываем в базу (в данном случае внутреннюю "родную" базу астериска) номер кому звоним. Потом при входящем звонке сверяем и маршрутизируем.

[outgoing]
exten => _98XXXXXXXXXX,1,Set(DB(outg/${EXTEN:2})=${CALLERID(num)}) #записываем в базу набираемый номер.

[call_back_to_caller] #Если звонок пришел от абонента, которому ранее звонил менеджер
exten => dfg,1,Dial(SIP/${DB(outg/${CALLERID(num)})},,Tt)
exten => dfg,n,Hangup

[inbound]
exten => ваш_внешний_номер,n,GotoIf(${DB_EXISTS(outg/${CALLERID(number)})}?call_back_to_caller,dfg,1:reception,cc,1) #сверяем наличие в базе номера и отправляем в соотвествующий экстеншн.

[reception] #если звонок приходит от любого другого номера, которого нет в базе)
exten => cc,1,Dial(SIP/1099,12,Tt)

Это рабочий вариант. Но, как сказал, вам надо подпилить под себя, и понятное дело, что здесь лишь те строчки, которые отвечают за логику в соотвествии с вашим вопросом. Так или иначе, ознакомьтесь с документацией по DB и DB_EXISTS и поработайте с записями в базе, чтоб было понимание.