VoIP e NAT (e portas bloqueadas)

Estou criando um aplicativo VoIP e não consigo fazê-lo funcionar corretamente. De cada lado existem clientes SIP. No meu escritório usamos 2 caixas diferentes para acessar a internet. A primeira é como uma rede doméstica e não é restrita. Neste, tudo está funcionando bem. A segunda (que me causa problemas) é uma rede corporativa e muitas portas estão bloqueadas por padrão.

Meu aplicativo VoIP usa um servidor Asterisk. Alguns clientes que deveriam se conectar naquele servidor Asterisk estão na rede da empresa, atrás do roteador restrito. Na verdade, o registro SIP está usando a porta 5060 TCP/UDP e o RTP está usando a faixa de 10.000 a 20.000 UDP.

O problema é que meu administrador de rede não deseja abrir esse enorme intervalo de portas. Segundo ele, isso criaria brechas de segurança.

Existe algum meio de permitir que sinalização SIP ou voz através do protocolo RTP passe pelo roteador da empresa?

Atualmente tenho algumas ideias mas não sei se são relevantes.

1. Meus clientes SIP estão conectados a uma VPN. Eu poderia passar todo o tráfego pela interface VPN para que o roteador restrito não tivesse conhecimento do que passa por ele? Eu tentei, mas alguns pacotes ainda parecem estar passando pela minha interface Ethernet em vez da minha interface VPN.

2. Protocolos como STUN ou ICE resolveriam esse problema?

3. Li muito sobre travessia de NAT, mas não encontrei nenhuma solução que resolvesse meu problema.

Posso fornecer mais detalhes sobre minha configuração, se necessário.

2021/01/12: Minha instância de servidor VPN é um OpenVPN e roda em uma máquina virtual pfSense que pode ser acessada com seu endereço IP.

Executei um comando tcpdump para capturar o tráfego na porta 5060 na minha máquina pfSense, mas meu cliente não alcança este servidor quando estou conectando clientes da rede restrita...