Ja jsem ale blbec, ze jsem se nad tim nezamyslel poradne, NDP/neigh proxy tady je k nicemu, to by simulovalo bridge-like chovani v situaci, kdy potrebujes pouzit bridge, ale nemuzes, protoze se ocekava, ze mas ty konkretni adresy primo na rozhrani, kde je pripojeni do netu (~priblizne receno);
To by asi vpsAdmin musel umet napridavat vic adres z jednoho subnetu na rozhrani a ty bys pak asi musel ty adresy odebirat po startu (nebo delat dalsi kejkle s konfiguraci rozhrani, ktere jinak manazuje vpsAdmin stack, obvykle pro jednoduchost, ne tak ale v tomhle pripade, no) - a prave pres neigh/arp proxy to preposilat na dalsi iface (bridge s QEMUs)…
Routed setup tady je nativni zpusob, jak delame veci, protoze nam staci resit celou sit jen na L3 urovni, mame uplne minimalni L2 domeny, co to jen jde (2 mac adresy v kazde).
Routovat site pres adresu z nejake dalsi site je nativni zpusob, jak propojujeme vsechno, akorat pro v4 to vypada trochu aliensky, kdyz se predava /32 adresa dal tak, aby ji mohl pouzit novy network namespace pro link do sveta - uplne analogicky by se poslala o dalsi uroven dal do QEMU, taky s nejakou vymyslenou /32 protiadresou pouzitou na default gw v tom QEMU, s odpovidajici /32 routou via interface primo. Ta vymyslena default gw adresa nemusi byt propagovana na zadne vyssi ani nizsi urovne (akorat se musi menit tak, aby se nepotkavala jedna ze dvou smeru v jednom net namespace). My ji btw v tom nadrazenem net ns prirazujeme na dummy iface osrtr0.
Ze link-local adresy jsou neroutovatelny, jj, ale to nevylucuje routovani neceho dalsiho pres link-local adresy mezi tema koncema, co na sebe skrz ty ll adresy vidi 
IMHO nejlepsi setup je rict si o /24(/25, /26) internich v4 a ty pak preroutovat na bridge s KVMkama (a nechat tam radit dnsmasq pres libvirt). Analogicky routed setup s v6 a autoconfig na strane bridge s KVMkama.
Na ty interni v4 jde pak presmerovat traffic z konkretnich portu z te verejky, jinak pujdou do netu pres nas spolecny NAT.
Co takhle?
)