Тебе не нужен upstream если у тебя всего один апстрим.
Для ssl - listen 443 ssl;
"ssl on" устарела и может быть удалена в следующем релизе.
ssl_protocols нужно использовать ТОЛЬКО ЕСЛИ ЭТО ПРЯМО УКАЗАНО, например, в CVE mitigation guide.
Либо если ты точно знаешь, что делаешь.
Изнутри по внешнему имени можно зайти только в двух случаях - кривая настройка файервола либо внешнее имя внутри сети ресолвится во внутренний IP адрес.
Ну и вообще, почему не просто пробросить порты? Судя по всему, nginx в вашей ситуации не нужен совершенно.