Разобрался.
Для этого понадобились две вещи:
1. Общее понимание как правильно организовать подключение. Все отлично расписано в
https://pve.proxmox.com/wiki/Network_Configuration
для случая с одним публичным IP подходит Masquerading (NAT) with iptables
2. Детальное техническое описание реализации с нюансами для Hetzner. Для меня подошло
https://e-tel.eu/2017/07/25/deploy-proxmox-hetzner...
Вместо "интернетной" сетевой карточки нужно сделать бридж с такими же настойками и портом в эту самую карточку. А для гостевых систем сделать второй бридж с POSTROUTING, MASQUERADE и bridge_ports none
