.well-known/acme-challenge/) делать редирект на нужную (то есть на ту на которой запустили получение сертификата). Я пока не могу проверить, но вот думается если на обеих нодах так настроить - будет ли работать получение сертификата нормальное на обеих нодах, то есть напрямую получить серт и не переносить его скриптами потом? Или может быть бесконечный редирект? Пока не могу представить
-t nat OUTPUT дублирующее PREROUTING для того чтобы с самого шлюза можно было обращаться на него самого (10.0.1.1:8080 или 192.168.88.27:8080) + правило в FORWARD с разрешением порта 80 (так как транзитные пакеты сквозь сервер не попадают в INPUT и OUTPUT а в FORWARD) у меня все работает, да и проблема больше в том, что все работало, но мне казалось что что-то лишнее, а оказывается получается 4 правила для нормальной работы проброса порта это нормально
К слову, я проверил вариант с 404 ошибкой и последующим редиректом (в location .well-known задан error_page 404 = @testlocation, в этом @testlocation осуществляется редирект на другую ноду) и вроде как все работает с двумя хостами. То есть, я запустил получение сертификата на node1, DNS кинул LE на node2, вместо node1. На node2 сработал редирект на node1 и я получил сертификат на node1. То же самое потом повторил на node2. Если DNS кинет LE на правильный хост, на котором и запрашивали, то просто будет локальное получение, без редиректов. Либо я не вижу косяков данной схемы по неопытности, либо схема рабочая (ну, кроме того что только с двумя хостами она рабочая?)