Eu finalmente descobri isso juntando informações de duas outras fontes.
Primeiro, o post de Sleeman aqui declara:
Let's say your ISP gives you aaa.bbb.ccc.192 - 195 with a subnet of 255.255.255.252.
This means all IP's in that range have the same subnet AND. . .
.192 is the 'network' address. .193 is the 'gateway' address **this is the address you use in the 'setup' page of the RV042. .194 is the only usable public IP in the DMZ. .195 is the 'broadcast' address.
If you get a .248 block with a .192 network, then you end up with 5 usuable IP's in the DMZ (you need to run the DMZ port through a switch to use all more than 1 IP).
Isso me fez perceber que tenho o endereço IP externo errado atribuído à porta DMZ. Meus endereços ISP atribuídos x.x.x.17 - 22, com sub-rede 255.255.255.248. Eu tinha atribuído x.x.x.17 à porta DMZ e x.x.x.18 à porta WAN1.
O sintoma desse problema foi apontado acima nos comentários: A regra de acesso WAN1 mostrou um RANGE como o Destino.
Então eu mudei a configuração da porta DMZ para usar x.x.x.20. Como no endereço IP e o da WAN1 estão na mesma sub-rede, também mudei a porta da DMZ de "Subnet" para "Range".
A segunda parte da solução foi a configuração do endereço IP no próprio servidor IIS. Eu li esta solução para outro roteador no RV série, que disse:
Then, on the server you would put in the IP address that it will be (public one that you entered above), for the subnet mask you would use what your DataCenter gave you...and for the Gateway you would put the same IP that the datacenter gave you.
Por isso, alterei o endereço IP no servidor IIS para x.x.x.20 e configurei o gateway para o gateway atribuído pelo meu provedor (que também é o mesmo gateway para a WAN1).
Isso funcionou. Agora sou capaz de fazer telnet para a porta 80 do mundo externo.