Ha a Dashboard felületen felveszed a DNS-be a szükséges bejegyzéseket, és arra az IP címre bentre teszel egy reverse proxy-t, ami az egyes benti szolgáltatásokat publikálja, azzal akár a tanúsítványokat is meg tudod csináltatni az ingyenes Let's Encrypt-tel. Persze az adott IP címen engedd be legalább a 80-as portot, mert az fog kelleni a HTTP-01 tanúsítvány ellenőrzési procedúrához (és a 443-as portot, ha kintről is elérhetővá akarsz tenni valamit) a Dashboard tűzfalában. Annyi extra fog még kelleni, hogy a belső (saját) DNS-be érdemes felvenni a publikus FQDN-eket a proxy belső címével (split DNS felállás), és akkor a bentről kezdeményezett, de a publikus nevet használó kapcsolatokhoz nem kell hairpin NAT a router-en (ami még ráadásul el is fedi a belső kliens IP címét...).
Reverse proxy-nak használhatod akár az Nginx Proxy Manager-t (ami a Caddy és a Traefik ellenében nem kifjezetten Docker-hez készült, hanem általánosabb), amit a Proxmox Community Scripts-ből fel is tudsz könnyen tenni egy LXC konténerbe, és webes felületen tudod az egészet kezelni. A proxy-n be tudod állítani, hogy csak belső IP tartományról jövő kérésekre válaszoljon, tehát attól, hogy nyitva van a 80-as port az internet felől (a tanúsítvány miatt muszáj), az csak a tanúsítvány kezeléshez lesz használva, nem kell rajta egy belső szolgáltatásotoknak sem látsznia az internet felől.