Что на конечных хостах - не так важно. Важны настройки на маршрутизаторе. Если новые устройства будут вне прописанного на старых хостах диапазона - просто трафик к ним поедет через шлюз, а не напрямую.
Особо ничем не отличается от того, что вы делаете на конечном устройстве - на роутере поднимается туннель до зарубежного сервера, в который заворачивается весь или некоторый трафик. Просто работает оно не для одного устройства, а сразу для всей локальной сети.
Поскольку не указан конкретный гипервизор, предполагаю, что вопрос теоретического характера. На него дать исчерпывающий ответ тяжело и неохота. Декомпозируйте и поспрашивайте у ChatGPT.
Локальная PKI у вас развёрнута, для начала? Иначе не знаю, чего вы там при повсеместном, слава тебе, господи, распространении HTTPS, собираетесь контролировать.
По опыту, делить локальные вланы на что-то, меньшее /24 бессмысленно - проще нарезать на одинаковые куски, так не придётся составлять зубодробительные таблички вроде вашей.
На клиенте вы указываете приватный ключ. На сервере публичный ключ должен находиться в одном из мест, в которых ищет SSHD (настраивается, обычно кладут в ~/.ssh).
В целом, для большого количества файлов я бы использовал rsync -a
Зачем вам открытый порт на агентах, если активный вариант работы актуален в достаточно небольшом диапазоне случаев, а по умолчанию обычно используют пассивный, для которого достаточно открытого порта на сервере?
