Tenes razon solo di una idea paso a detallar como es el tema:

se tiene router(zyxel con ip publica dada por arnet & ip interna tipica 192...1.1)---bastion (ipconectada al router 192....40 . Ip que sale para la intranet 172.....1)---- swich ----intranet.

Esa es la estructura de la coneccion, creo que esta claro si no es asi avisenme. Ahora explico mejor el problema, desde el exteior se accede a la perfeccion a los puertos que se permitió por el router y que están forwardiados al bastion que tambien los tiene permitidos, pero desde la intranet (recuerden que la intranet es del rango 172), cuando se quiere acceder por ejemplo a una coneccion ssh por la ip EXTERNA dada por arnet, que es la que posee el router, desde la red interna , directamente da conection refused, en forma interna (ips privadas) si se da la coneccion, pero dado algunos servicios que se tiene que testear & incluso algunos necesitan salir al exteior si o si , es que necesito lograr esto.

Muchas gracias por la respuesta, y espero esta ves haber sido mas detallista en la explicacion, cualquier cosite me dicen y detallo mas.

Saludos a todos