let's encrypt за nat

Если я правильно понял, то по моему второму вопросу ситуация такая:

Провайдер выдает несколько адресов на wan. К каждому адресу привязан домен. На роутере на каждый адрес от провайдера создается алиас. В правилах firewall делаем forward портов на внутренний ip нужного сервера используя алиасы. При этом пересечений 80 и 443 портов, например, никогда не возникнет. Так?

Тебе главное, что бы при проверке что ты владелец доменного имени, let's encrypt увидели, что IP адрес машины, на которой запущен скрипт получения сертификата соответствовал доменному имени на который будет выдан сертификат.

Использовать этот сертификат на web сервере за шлюзом можно, главное что бы пакеты во внешний мир уходили с IP адреса домена для которого выдан сертификат.

Автоматизацию продления сертификата можешь организовать на шлюзе.

То есть, я могу на шлюзе сделать сертификаты и все. Когда будет сайт открываться, то сертификаты со шлюза как бы подцепятся и все? А с почтой тоже такое прокатит?

Сертификаты будешь получать на шлюзе, с IP адресом твоего домена.

Далее копируешь эти сертификаты на web-сервер за шлюзом и прописываешь их на Apache, nginx или что там у тебя.

На шлюзе делаешь проброс порта на внутренний web-сервер и у исходящих пакетов заменяешь адрес источника.

Если получаешь сертификаты через сторонний клиент ACME, вроде manuale, то вообще плевать, видна ли машина из сети. В этом случае ты подтверждаешь владение доменом TXT-записью с определенным содержимым и больше ничем.