Si je peux me permettre. Je me pose une question.

Les deux routeur/firewall qui sont dessinés sur le schéma du réseau, de quelle type de machine s'agit-il ?

Ouvrir simplement des ports RTP 10'000 à 20'000 ne suffit pas.
Si un paquet arrive depuis Internet et que le routeur/firewall n'a pas l'intelligence suffisante pour l'associer au bon flux SIP, il ne saura pas vers qu'elle IP interne l'adresser.

Raison pour laquelle, le trafic SIP passe mais pas le son.
Je serais vous j'essaierai de simplifier au maximum les choses, et éviterait le STUN qui ne fait que compliquer le tout.
Vérifiez que les routeurs/firewall que vous utilisez support SIP de façon intelligente (Plug&Play).

Pour ma part, j'utilise des firewall Fortigate 50B. Cependant il faut faire attention, car en activant NAT=yes/comedia et externaddress=X.X.X.X les paquets qui vont sortir d'Asterisk contiendront l'adresse public IP (dans l'entête SIP), or certains firewall les bloquent car ils considèrent que ce n'est pas un fonctionnement normal (et ils ont raison).

Je laisserai donc la charge de gérer le NAT et SIP à un équipement dédié qui support SIP en plug & play et je désactiverai toutes les fonctions NAT d'Asterisk. Il y a des Modem/Routeurs/Firewall qui font ça très bien et coûtent pas trop cher.

D'autant plus que sur la partie droite de votre schéma, je suppose que le routeur, tel qu'il est configuré, risque de rediriger tous les paquets RTP toujours vers le même téléphone.

Pour être sûr de ce qu'il se passe et en avoir le coeur net, il faudrait une analyse réseau sur le WAN (entre le routeur/firewall et Internet) au lieu du LAN. Là on pourrait regarder sur les couches IP et au-dessus quels sont les IP et les ports utilisés. Ce qui aiderait considérablement le debuging.