Формулировка (и астериск и абоненты за натами) некорректна. Точность - признак мастерства.
Надо стремиться к идеальной модели. Идеальная модель - все в одной сети, или все на публичных адресах.
Первая апроксимация к идеальной модели (в случае тотальных НАТов): все соединения - упаковать в VPN.
http://www.asterisk.ru/news/183Вторая апроксимация к идеальной модели - Астериск на публичном адресе, клиенты в разных частях света, у разных ISP, за НАТ. Доступ к портам Астериск тщательно регулируется и контролируется.
Ваш вариант
Asterisk = = = { NAT/firewall-1 } - - - WAN - - - { NAT/firewall-2 } = = = WebRTC phone
самый неудачный. 4 видимые точки возможной блокировки трафика, не считая каких-то скрытых точек на стороне провайдеров интернет. Напомню, что кроме правил НАТа, ещё и возможные правила Firewall.
tcpdump на всех участках поможет найти проблемное место.