Возможно, стоит добавить логирование. Тормозить может много где - от резолва доменов и TLS-хэндшейка до скорости сети, хилого процессора и медленных дисков под базой.
Если вам нужны как можно более свежие пакеты - Дебиан максимально неподходящий дистрибутив. В целом, как уже совершенно правильно заметили выше - лучше подключать отдельные репозитории, а не всю нестабильную ветку.
Для начала я бы настроил мониторинг активности диска, потом добавил бы atop и auditd, чтобы можно было посмотреть корреляции между моментами высокой нагрузки, процессами и конкретными файлами.
Если не хочется возиться со скриптами, попробуйте BounCA - это простецкая вебморда, делающая ровно то, о чём вы спрашиваете. Если же хочется - как правильно сказали выше, easy-rsa.
Удивлюсь, если кто-то согласится бесплатно дебажить ваши туннели. Курите логи подключения, ищите сообщения об ошибках, это полезно в долговременной перспективе.
Указанные вами команды не делают ничего немедленно, для их применения нужно перечитать конфиг командой sysctl -p. Просто отредактируйте файл, удалив ненужные строки.
Хотите удобно мочь фильтровать по любому параметру - записывайте не в файлы, а в хранилище с возможностью индексации, хоть тот же ELK. Если это оверкилл и необходимость возникает относительно редко - напишите скрипт с грепом нужного.
С какого адреса пакеты уезжают в интернет в соответствии с правилами фаерволла/маршрутизации, такой и будет виден. Мало пробросить адрес в туннель - нужно ещё и сказать на шлюзе, с какого адреса выпускать данные из него в интернет.
В чём основной вопрос-то? Апач (возможно не сам, а РНР) у вас пытается выжрать больше памяти, чем ему может (или хочет) предложить ОС, поэтому запускается oomkiller и прибивает наиболее на его взгляд подходящее.
Подозреваю, что на хосте выдано виртуалкам памяти ненамного меньше общего объёма, поэтому периодически происходит ёк. В более-менее функциональных гипервизорах можно выключить балунинг памяти - тогда виртуалке будет сразу выдан весь объём.