localhost

Все довольно просто.
У вас 2 хоста:
-на первом делаете редирект для acme
-на втором у вас сам acme. И тут же крутится бот certbot . Он по шедулеру запускается когда надо обновить сертификаты и создает тот самый /.well-known/acme-challenge/ , Сторона le идет по ссылке и всегда попадает на этот токен.
Дальше дело техники, удобным вам способом перетащить сертификаты на хост1 и рестаратануть там nginx или других демонов чтобы они подцепили сертификаты.
Сделать это можно прям через хуки бота certbot ,
Скажем такая схема:
-он обновил успешно сертификаты
-сработал post-hook который дернул ваш скрипт.
-в скрипте простенькие команды чтобы перекинуть по scp сертификаты, и после по ssh дать команду на рестарт нужных демонов на хосте1.
-опционально помахать хвостиком и через телеграм отправить админу чтобы спал спокойно, можно еще и с логом.

1. Вариант
синхронизируйте папку /var/www/acme между серверами, можно в принципе даже не париться и подмонтировать одну к другой через fstab
2. Вариант в location /.well-known впишите прокси пасс на соседний сервер но поскольку может быть и тут и там, то
не просто прокси а в 404 ошибку, в таком случае вы будите отдавать его локально, если 404 то оттуда .
Или челез upstream.

Начните с малого, сотрите все правила из Firewall.

1) Разрешите формард пакетов в системе между интерфейсами.
cat /proc/sys/net/ipv4/ip_forward - тут должна быть единичка (1).

2) 10.0.1.1 должен быть как GW 10.0.1.2 иначе трафик надо маскарадить через SNAT.

3) Добавьте правилось проброса порта
-A PREROUTING -i enp0s3 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 10.0.1.2:80

4) Добавьте правило маскара, что бы маскарадить ответы от 10.0.1.2.
-A POSTROUTING -o enp0s3 -j MASQUERADE

Когда у Вас получится рабочий минимум, можете добавлять остальные правила.
П.С. Исходящий трафик (OUTPUT ) фильтруют параноики)

Хорошая картинка для понимания работы iptables