Из схемы, ваша IP-адресация и маршрутизация, кажется, в порядке.
Хотя вы отметили на диаграмме, что на вторичном маршрутизаторе отключен «брандмауэр SPI», я бы дважды проверил, есть ли какая-либо другая конфигурация брандмауэра; возможно, включите брандмауэр и просто настройте его так, чтобы он принимал все. Если вам повезет, правила брандмауэра могут даже идти с журналированием, так что в разделе «системный журнал» маршрутизатора будут показаны все ошибочно заблокированные пакеты.
Также возможно, что межсетевой экран на главном маршрутизаторе может создавать помехи; например, оно может иметь только правило переадресации для «192.168.1.x в WAN».
Другая возможная проблема заключается в том, что основной маршрутизатор может не захотеть пересылать маршрутизированные пакеты обратно на тот же интерфейс, с которого они уже пришли (т. Е. Из локальной сети в локальную сеть). Я не знаю, почему некоторые маршрутизаторы делают это, но, очевидно, это происходит.
Чтобы исключить две последние проблемы, я предлагаю временно добавить один и тот же маршрут (192.168.7.0/24 через 192.168.1.134) к компьютеру A (тем самым полностью обходя основной маршрутизатор).
Правила «NAT» вторичного маршрутизатора (SNAT или маскировка) не должны мешать входящим соединениям, но все равно хорошо, что вы отключили NAT независимо от этого.
Если у вас закончились порты локальной сети, купите коммутатор Ethernet.