Merci Quintana pour toutes ces explications
Ce serait plutôt le cas "compliqué" car le XIVO est sur le LAN (derrière un pfSense) et les utilisateurs extérieurs ont tous une "machin-box" avec du nat.
Le but est de simplifier au maximum l'installation coté utilisateur mais c'est beaucoup plus compliqué que je le pensais par rapport à la mise en place d'un client IPsec ou OpenVPN.
En fait l'idéal serait un soft-phone qui embarque un client IPsec (ou OpenVPN), le tout pré-configurable...

j'ai vidé ma boîte d'aspirines là !