VoIP y NAT (y puertos bloqueados)

Estoy creando una aplicación VoIP y tengo problemas para que funcione correctamente. A cada lado hay clientes SIP. En mi oficina utilizamos 2 cajas diferentes para acceder a Internet. La primera es como una red doméstica y no está restringida en absoluto. En este, todo funciona bien. La segunda (que me causa problemas) es una red de la empresa y muchos puertos están bloqueados de forma predeterminada.

Mi aplicación VoIP utiliza un servidor Asterisk. Algunos clientes que deberían conectarse a ese servidor Asterisk están en la red de la empresa, detrás del enrutador restringido. En realidad, el registro SIP utiliza el puerto 5060 TCP/UDP y RTP utiliza el rango de 10 000 a 20 000 UDP.

El problema es que mi administrador de red no quiere abrir esa gran variedad de puertos. Según él, esto crearía agujeros de seguridad.

¿Existe algún medio para permitir que la señalización SIP o la voz a través del protocolo RTP pasen a través del enrutador de la empresa?

Actualmente tengo algunas ideas pero no sé si son relevantes.

1. Mis clientes SIP están conectados a una VPN. ¿Puedo pasar todo el tráfico a través de la interfaz VPN para que el enrutador restringido no tenga conocimiento de lo que pasa a través de él? Lo intenté, pero algunos paquetes todavía parecen pasar a través de mi interfaz Ethernet en lugar de mi interfaz VPN.

2. ¿Protocolos como STUN o ICE resolverían tal problema?

3. Leí mucho sobre el cruce de NAT, pero no encontré ninguna solución que hubiera resuelto mi problema.

Puedo proporcionar más detalles sobre mi configuración si es necesario.

12/01/2021: La instancia de mi servidor VPN es OpenVPN y se ejecuta en una máquina virtual pfSense a la que se puede acceder con su dirección IP.

Ejecuté un comando tcpdump para capturar el tráfico en el puerto 5060 en mi máquina pfSense pero mi cliente no llega a este servidor cuando conecto clientes desde la red restringida...