То что я вижу с чего начался диалог - "...но вот я моэно ли теперь наконец то по домену входящие соединения направлять на разные сервера."... и далее была реплика про L7.... Вы вдруг с какого-то перепугу решили вставить фразу про nginx ! Чтобы показать свою значимость и осведомленность? Каким боком вообще здесь nginx и, скажем, L7 ?!? "Научитесь ясней выражать свои мысли и люди к вам потянутся" (с)
И, признаком хорошего тона является использование цитирования, чтобы было понятно, в ответ на какую фразу была кинута ваша реплика...

ну если у тебя "где-то" "для дома для семьи" развернуто несколько web серверов которые держат https то почему бы там же не развернуть и nginx для проксирования?

В след раз пожалуйста по существу.

Это как яблоко и андроид, во втором нужны мозги и можно крутить и так и сяк, а первое настраивается по древним мануалам не менее древними админами и лучше сугубо в одной задаче, а тик универсален.

а не проще проксировать запросы nginx на нужные backend сервера? зачем эту задачу вешать на маршрутизатор?

Потому что так нужно)

change-mss есть?

Я бы попробовал послушать  трафик от клиента. Просто tls handshake не относится к роутеру)

Пробовал до 1260. Не помогает.

Ну понятно что не относится, но это на нескольких клиентах за этим роутером и решается проблема переключением на другой роутер (смартфон).

попробуйте поменять mss через
ip firewall mangle add action=change-mss

Мне кажется что вы используете usb токен для сбербанка?

Мне кажется что вы используете usb токен для сбербанка?

Если через usb флешку сбера то там клиент впн. А вот контуры и прочее это уже скорее всего из-за сегментации пакетов. В самом подключении pppoe отключенно change mss?