Hola, un poco ocupado. Trataré de ser claro aunque a veces escribo muy enredado
Primero lo del firewall, lo que uso es un vps linux centos 7, activé el iptables y desactivé el firewalld.
Esta vps linux tiene dos tarjetas de red, realmente tiene más tarjetas, pero para nuestro caso, solo importan dos tarjetas de red, una es la eth0 que es la ip pública y la otra la eth1 que es la LAN.
instalé otra vps linux con issabel con una tarjeta en la misma LAN del firewall linux, por ejemplo 192.168.20.3
en el firewall linux abri el puerto (por ejemplo) el 4550 y lo enruté al 4569 de la vps issabel 192.168.20.3
instalé una segunda vps linux issabel con una tarjeta de red en la misma LAN del firewall linux por ejemplo 192.168.20.4
en el firewall linux abri el puerto (por ejemplo) el 4551 y lo enruté al 4569 de la vps issabel 192.168.20.4
Como solo uso IAX2 entnces no necesito abrir mas puertos y funciona sin problemas, aqui no necesitas puertos rtp.
Con respecto a la configuración de extensiones SIP, estoy haciendo algo parecido solo por hacer el ejercicio de lo que dices, en el firewall simplemente publique el puerto 5160 y lo enrute al a vps 192.168.20.3 y el puerto 5260 y lo enrute al 192.168.20.4 y se registran sin problemas.
para los puertos RTP debes hacer lo que tu dices, dar rangos para que alcances a tener varios clientes.
En los telefonos SIP debes dar el nombre del dominio, por ejemplo ippbx.tudominio.com:5160 ó 5260, cada uno de estos puertos identificaría la redirección a la planta que quieras que vaya la solicitud.
Esto en cuanto a registros. Como no trabajo con SIP porque IAX me funciona mucho mejor, entonces cuando hago una llamada entre extensiones SIP, entra sin problemas pero solo dura 14 segundos la llamada, luego se corta y ninguno de los dos lados tiene audio, supongo que hay mas configuraciones que hacer, una cosa importante, nosotros solo usamos softphones, solo instalación en celulares.
si quieres striderec te dejo mis datos y nos comunicamos mas directamente y te colaboro en lo que pueda, asi de paso me enseñas, me gusta mucho aprender este tema aunque soy es desarrollador, mi correo es juan.ntorres@gmail.com
gracias