Схема - это очень хорошо. Будет еще лучше, если к схеме приложить необходимую информацию.
ip r s t all type unicast
ip a s
iptables-save
sysctl net.ipv4.ip_forward
С каждого хоста.
Что касается сабжа, нужент хотябы один белый IP, что бы избавится от этого уёчудовища, имя которому хамачи. Без белых IP это тоже решается, правда с ньюансами (ipv6 + OpenVPN).
Про мост тоже не понял и было бы здорово, чтобы тот, кто его посоветовал, обосновал применение в такой ситуации.