Um servidor proxy não é um roteador de rede, um servidor proxy é um servidor de encaminhamento de solicitações do cliente.
Meu palpite é que seu servidor proxy é na verdade um roteador / firewall, e há outro segmento de ethernet (usado por A1 e A2) que seu modem ADSL não conhece, então o tráfego destinado a A1 não é encaminhado ao roteador pelo modem ADSL.
Para a foto correta, é importante levar em consideração todos os dispositivos (exceto os comutadores) e os serviços envolvidos.
Esta seria uma imagem de rede não-NAT com dois segmentos (192.168.1.xe 192.168.2.x) e um servidor proxy / roteador de rede com duas placas de rede (conectadas a dois segmentos eth).
192.168.2.101(A1) 192.168.2.102(A2) 192.168.1.101(B1) 192.168.1.102(B2)
+-----+------+ | |
| | |
192.168.2.255(router-eth1) | |
192.168.1.100(router-eth0) | |
| | |
+-------------------------+-----------------+
|
ADSL modem/router(for 192.168.1.x network)
O modem / roteador ADSL agora precisa de uma máscara de sub-rede em seu endereço IP interno para ignorar todo o tráfego destinado a 192.168.1.xe 192.168.2.x, portanto, não encaminhará esses dados para a Internet. Máscara de sub-rede: 255.255.252.0 (os 2 bits inferiores no byte 3 estão desligados, ou seja, 192.168.0.x, 192.168.1.x, 192.168.2.xe 192.168.3.x são considerados redes internas).
O proxy / roteador precisa de uma regra para aceitar o tráfego recebido na eth0 e destinado a 192.168.2.x, e encaminhar isso para a eth1.
Se você precisar de proteção, não aceite tráfego do endereço IP interno do modem ADSL em eth0. Deve haver apenas tráfego gerado pelo modem ADSL em seu endereço IP interno ao gerenciá-lo a partir de um endereço IP interno, mas você deve ter o cuidado de proteger o 192.168.2.x., já que o modem está exposto (e pode ser hackeado da internet.
Em qualquer segmento, deve haver apenas um servidor DHCP (não se esqueça de que os modems ADSL geralmente também incluem um servidor DHCP).