Resposta curta: você não pode.
O HAProxy não entende o SSL e, portanto, equilibra essas conexões no modo TCP. A opção forwardfor
não significa nada no modo TCP, pois é um cabeçalho HTTP.
Tudo o que li sobre SSL e HAProxy recomenda usar algum outro software na frente do HAProxy para lidar com o descarregamento de SSL. Algumas das sugestões foram Pound e nginx, entretanto, foi levantado o ponto válido de que eles são servidores proxy de balanceamento de carga e por que você introduziria complexidade extra e um salto extra quando você poderia apenas ter um deles lidando com balanceamento de carga e remover HAProxy inteiramente?