опять избитая тема. но все же надеюсь на помошь. )
http://www.voip-info.org/wiki/view/Asterisk+SIP+NAT+solutions
читал. мой вариант 4.

2 офиса с 2х сторон шлюзы. поменялись ip адреса сменил только на интерфейсах и в iptables. но ничего не заработало, звонок идет я гудок слышу , трубку поднимают но голос не идет.
пришлось с начало разбираться
делал по пункту 4.
пробрасывал порты.

на iptables.
iptables -t nat -A PREROUTING -d 217.15.*.* -p udp -m multiport --dport 5060,10000:20000 -j DNAT --to-destination 192.168.0.2
iptables -A FORWARD -p udp -s 192.168.0.2 -j ACCEPT
iptables -A FORWARD -p udp -m multiport --dport 5060,10000:20000 -d 192.168.0.2 -j ACCEPT

в сип нат
externip=217.15.*.*
localnet=192.168.2.0/255.255.255.0
localnet=192.168.0.0/255.255.255.0
nat=yes

а другой стороне также, со своими IP.

pbx-su*CLI> sip show peers
Name/username Host Dyn Nat ACL Port Status
AL-2/98 192.168.10.253 N 5060 OK (2 ms)

но голос не появился

причем ранее был конфиг вообще странный. в сип нат небыло ничего вообще на одном офисе.
в iptables
-A PREROUTING -d 85.159.*.*/32 -p udp -m udp --dport 5060 -j DNAT --to-destination 192.168.0.2
-A PREROUTING -d 85.159.*.*/32 -p udp -m udp --dport 10000:20000 -j DNAT --to-destination 192.168.0.2
-A POSTROUTING -s 192.168.0.0/24 -o eth1 -j SNAT --to-source 85.159.*.*
-A FORWARD -s 192.168.0.2/32 -j ACCEPT
-A FORWARD -d 192.168.0.2/32 -j ACCEPT

вот так было.

на самом еластике в iptables так сечас

:INPUT DROP [1:40]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 5060 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 5060 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 4569 -j ACCEPT
-A INPUT -i eth0 -p udp -m multiport --dports 10000:20000 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A FORWARD -s 192.168.2.0/255.255.255.0 -j ACCEPT
-A FORWARD -d 192.168.2.0/255.255.255.0 -j ACCEPT
COMMIT

интуитивно догадываюсь, либо канал криво поднял, либо на фаерволе нет правил нужных.
но с моими скудными знаниями в nix сисетмах, разбираться мне еще месяц.

подскажите куда мне копать?

нужно по Хаузу, отсекать, выключи фаервол в обще, пробуй, не пашет копай дальше, у меня тож было подобное, решилось просто, косяк был у сип провайдера )

чет я ступил, у тебя просто пров сменился и тебе надо прокинуть между офисами сип, кидай тунель какой нить EoIP и будет счастие.

а то этот нат, фу фу

* за натом и клиенты за натом? из того же источника:
===
Then we have even worse cases...

9. Asterisk inside a NAT, client inside ANOTHER NAT <---Isn't this the same as previous option 4???

In this case, we need a middle man to even find each other, an outbound SIP proxy that handles the SIP transaction and is reachable by all parties. To get media streams from point to point we need another middle man, a media server. Asterisk could be that media server, that could add media codec conversion. RTPProxy or AG Projects MediaProxy works together with SIP Express router as a media server in this situation.
===

да и в самом же п.4 написано, что нужен STUN сервер.