V tomhle popsaném případě mi implementace firewallu s používáním FQDN (tuplem ještě pro hosty z nějaké DynIP služby) nepřijde úplně dobrý nápad.
Teď úplně nejde jen o to, že to nftables (jako víceméně low-level filtrační mechanismus) nepodporuje. Ale i na produktech, které to přímo podporují, a při použitích kde to opravdu může výrazně zjednodušit obsluhu (typově přístupy z různých CDNek), to může mít spousty konsekvencí. Obecně se DNS překlad může stát velmi kritickou závislostí pro chod toho FW, měly by se ozkoušet všechny fallback varianty, jak se filtr chová při nedostupném nebo pomalu odpovídacím DNS, jaký to má případně vliv na prvotní spojení, jak se chová vzhledem k cachování a životnosti těch záznamů.. jestli to nebude problematické při velkém množství zpětných překladů s krátkým TTL atp.
Což neznamená, že to nejde, jen to nemusí být vždy ideální, nebo opodstatněné řešení pro nějaké obecné jednotlivé servery a virtuály s veřejnými adresami (vs např. zabezpečení něajké firmy, centra atp.).
Ale abych se vrátil k tomu, co jste psal. Pokud máte veřejnou dynamickou adresu, jste prostě normální road-warrior a podle mě je rozumná cesta jen to, co už používáte - nějaká forma zabezpečeného připojení na jump host.
Pokud se obáváte o dostupnost, zařiďte si jednoduše druhý. Osobně mám pro tyhle situace vždy druhý, záložní přístup, ideálně u jiného provozovatele na jiné síti.
Postačí na to jakákoliv nejslabší VPSka, je to otázka do 100,- měsíčně, případně zkusit i nějaký free tier (u Oraclu to šlo, nevím teď, jestli ještě přidělují veřejné IPv4 adresy). Výhoda pak je, že vám ten záložní jump host bude fungovat odkudkoli, ne jen z domova.
A stran toho O2, nevím co je nej.cz, ale mám doma VDSL a rovnou jsem si připlatil za veřejnou adresu. Ano, bylo by fajn to mít rovnou jako to bývalo před lety, když byly adresy za hubičku, a něco to stojí (jeden oběd). Nicméně nakonec jsem to prostě vzal jako další nástroj k práci. Krom statické adresy to hlavně řeší přímý přístup přes IPv4 bez CGNATu.