VoIP и NAT (и заблокированные порты)

Я создаю приложение VoIP и у меня возникли проблемы с его правильной работой. С каждой стороны есть клиенты SIP. В моем офисе мы используем 2 разных ящика для доступа в Интернет. Первый — это как домашняя сеть, и она не имеет ограничений. На этом все работает нормально. Второй (который доставляет мне проблемы) — это корпоративная сеть, и многие порты на ней заблокированы по умолчанию.

Мое приложение VoIP использует сервер Asterisk. Некоторые клиенты, которые должны подключаться к этому серверу Asterisk, находятся в сети компании за ограниченным маршрутизатором. На самом деле регистрация SIP использует порт 5060 TCP/UDP, а RTP использует диапазон от 10 000 до 20 000 UDP.

Проблема в том, что мой сетевой администратор не хочет открывать такой огромный диапазон портов. По его словам, это создаст дыры в безопасности.

Есть ли способ разрешить передачу сигналов SIP или голоса по протоколу RTP через маршрутизатор компании?

На данный момент у меня есть несколько идей, но я не знаю, актуальны ли они.

1. Мои клиенты SIP подключены к VPN. Могу ли я пропускать весь трафик через интерфейс VPN, чтобы ограниченный маршрутизатор не знал, что через него проходит? Я пробовал, но некоторые пакеты все равно проходят через мой интерфейс Ethernet вместо моего интерфейса VPN.

2. Решат ли такую ​​проблему протоколы вроде STUN или ICE?

3. Я много читал о прохождении NAT, но не нашел решения, которое помогло бы мне решить проблему.

При необходимости я могу предоставить более подробную информацию о моей установке.

2021/01/12: Мой экземпляр VPN-сервера — это OpenVPN, работающий на виртуальной машине pfSense, доступной по ее IP-адресу.

Я запустил команду tcpdump для захвата трафика на порту 5060 на моей машине pfSense, но мой клиент не подключается к этому серверу, когда я подключаю клиентов из ограниченной сети...