Já existe uma resposta explicando porque isso não funciona, mas existem duas soluções. A outra resposta menciona apenas uma, então esta resposta é fornecer uma alternativa.
De fato, o que você quer requer o hairpinning NAT, e parece que o seu roteador não suporta isso.
Como alternativa à substituição do roteador por um que ofereça suporte a ele, você pode configurar um servidor DNS em sua rede. Isso pode estar em um servidor, mas você também pode baixar um programa de servidor DNS e executá-lo localmente. No seu roteador, para o servidor DNS, você configura o endereço IP do computador / servidor que executa esse servidor DNS e no servidor DNS você adiciona uma entrada manual para o seu FQDN (domínio) no seu exemplo, que seria sub.example.com
e faça com que aponte para o endereço internal
ip.
Todos que usam esse novo servidor DNS poderão acessar o site novamente, mas você não poderá detectar problemas na peça on-line. Isto é, no entanto, como é feito no mundo real com as empresas. Eles têm um servidor interno executando um servidor DNS e o domínio que eles usam para coisas internas é configurado no servidor DNS.