Hi.
Docker wird ja „fester“ Bestandteil der v7. Damit werden diverse Dienste ausgeliefert wie z.B. ein Mailserver und nach und noch mehr (auch ein nginx-revproxy ist in der Pipeline?!) … daher sollte man die docker-Basics drauf haben!?
HAProxy und LE habe ich bei uns nun (nach längeren Diskussionen auch hier im Forum) direkt auf der OPNSense installiert, damit folgendes gewährleistet ist: Jeder Zugriff auf die DMZ läuft über den ReverseProxy (in unserem Fall ist das die OPNSense selbst) und wird dort entsprechend der Regeln an den richtigen Host in der DMZ umgeleitet. Zusätzlich liefert der RevProxy direkt das richtige LE-Zertifikat aus, so dass man nichts mehr hin- und herkopieren muss. Das funktioniert hier sein einigen Tagen problemlos. Die LE-Zertifikate werden alle direkt in der OPNSense GUI verwaltet und man kann mit wenigen Klicks neue dazu packen (als Challenge ist http-01 eingestellt). Auch die Erneuerung der Zertifikate regelt dann ein Cronjob auf der OPNSense. Bequemer geht’s imho nicht?!?
Wireguard läuft hier auf der OPNSense-FW, da das viel flotter als OpenVPN ist. Die Zugänge/„Peers“ sind sehr schnell aktiviert für’s mobile Endgerät auch per QR-Code einfach einlesbar. Auch das läuft jetzt seit einiger Zeit problemlos (auch wenn Wireguard noch beta ist). Zusätzlicher Vorteil: Wenn man im Ausland (oder „unbekannter WLAN-Umgebung“) ist, kann man den VPN-Tunnel in sein Schulnetz aufmachen und den gesamten Traffic verschlüsselt übertragen. Dann kann man sich auch relativ beruhigt (?) in ein „öffentliches WLAN“ in irgendeinem Straßencafé einklinken 
Dein Programm klingt ja schon fast nach einer neuen Tagesordnung … ich hatte bisher keinen neuen Termin auf dem Schirm.
Schöne Grüße,
Michael