ky0

Добавить прокси-серверу соответствующий маршрут через локальный интерфейс. В случае, если обращение происходит не по IP, а по именам - сделать так, чтобы DNS-сервер для локальных клиентов возвращал локальные адреса (см. split DNS).

на очень специфической специально заточенной версии nginx

В чём заключается эта специфичность?

используются нестандартные порты вместо 80 и 443, т.е. доступ вида domain.example:1234 работает, но сертификаты от LE не получить, т.к. для этого требуется открытый 80 и 443 порты

Используйте webroot-авторизацию, в этом случае всё равно, какие у вас там внутри порты.

сертификаты должны оставаться на самих серверах, а не находиться на прокси

Это требование исходя из чего?

По сути вопроса - да, nginx всё это умеет, proxy_pass настраивается буквально тремя строчками даже в таком экзотическом варианте, как HTTPS -> HTTPS на кастомный порт. Другое дело, что так никто не делает по понятным причинам. Как раз наоборот - делают единый (ну или отдельный для каждого приложения) https-гейт с nginx`ом, на котором, собственно, и терминируется HTTPS, устанавливается сервис для получения-обновления сертификатов от LE, а внутрь пробрасывается нешифрованный HTTP.

Тут налицо какая-то откровенная кривота архитектуры приложения.

Учитывая, что для идентификации соединения используется 4 переменных (два IP и порты с обеих сторон), не могу, если честно, придумать кейса, требующего прослушивания такого количества портов на сервере.

HTTPS без распространения вашего корневого сертификата на устройства пользователей и последующей подмены сертификатов для всех доменов, проходящих через прокси не получится. И это хорошо.