Imaginons que l’hébergeur fournit 192.0.2.66 et 192.0.2.99 à ta VM/serveur dedié.
Tu veut donner 192.0.2.99 à ton abonné.
Soit tu fais du NAT 1:1 sans conntrack vers l'ip privée que tu as fournis à ton abonnée. Il faudra bien pensé l'architecture réseau car il y a des problèmes dans cette architectures qui n'apparaissent qu'après avoir réfléchi un moment.
Soit tu route 192.0.2.99/32 vers l'abonné. Tu utilise fakearpd pour que le routeur de ton hebergeur te délivre les paquets.
Sur le CPE, tu fais porter 192.0.2.99/32 à une interface de loopback (lo1, dummy0, etc) et ta régle de SNAT n'est pas -o eth0 -j MASQUERADE mais -o eth0 -j SNAT --to-source 192.0.2.99 où eth0 est l'interface wan.
VyOS sait le faire, IOS probablement, le reste ...