Hola David:
Como comentas, si hay algo que no se puede hacer, es dejar los puertos SIP abiertos a Internet.
Si o si, tienes que tener un tunnel VPN entre los sitios conectados, al menos le agregas mas dificultad a los hackers.
Tenemos instalados en algunos clientes una configuración similar a lo que tu necesitas.
En ambos extremos tenemos routers con VPN (uno como server - tanto para el router que estará como cliente, como para mantenimiento remoto o softphone externos), en nuestro caso hemos usado routers Cisco o Mikrotik RB 750. Una vez creada la VPN con sus correspondientes IP asignadas, creas un troncal peer to peer entre las centrales, puede ser IAX o SIP. El rango de internos de las centrales tiene que ser diferente, por ejemplo Central A - internos 1XX, central B - internos 2XX, para poder enrutar las llamadas internas hacia una u otra central a traves del troncal, lo mismo para el acceso hacia los troncales analogicos, mediante el dialplan enrutas que las llamadas salgan por donde quieras. Tambien puedes hacer que desde el preatendedor de cualquiera de las centrales se acceda a cualquiera de los internos de ambas.
En cuanto al corte de las llamadas, debes estar teniendo un problema de NAT.
En cuanto tenga un poco mas de tiempo, entro remoto a una central y te paso datos de configuracion, se que esta explicación es muy escueta , pero es para explicarte que se puede hacer, buscando en google encuentras ejemplos.