Claramente, o tráfego interno está atravessando a rede e a parte do roteador NAT está funcionando bem quando você está entrando, e o tráfego de retorno está voltando. Seu erro é confundir ping e tracert com ferramentas que informam se algo está disponível \ - eles só informam sobre como o alvo responde ao tráfego ICMP.
Ping \ tracert usa o ICMP que pode estar sendo descartado pelo roteador dela, então se ele não responder, isso não indica que algo está quebrado. Tudo depende de como o roteador foi configurado. Meu roteador (home) desativa o tráfego ICMP externo destinado à sua interface externa para que eu possa (normalmente) fazer ping no endereço interno (privado), mas não no endereço externo (público). Eu também posso desabilitar o ICMP totalmente nele e não obtenho nenhuma resposta em nenhum dos lados, mas ele ainda está funcionando corretamente em todos os casos, eu posso gerenciá-lo através da sua interface normal de administração web e ele roteia apropriadamente.