Hallo @Kai-Uwe,
die Telefone sollten sich eigentlich dennoch fernsteuern lassen, außer die Firewall macht neben dem Hairpin NAT zusätzlich SIP ALG. Bei Yealinktelefonen sollte es aber beispielsweise so oder so funktionieren, da hier eigentlich via SIP der Anruf ausgelöst wird, bei Snom versucht die Anlage oder der DesktiopClient das Telefon per http zu erreichen (und die IP wird aus den SIP Headern meines Wissens nach ermittelt, bin mir aber nicht sicher).
Ich würde aber Onsite immer empfehlen ohnehin zwei Interfaces zu verwenden und das interne (gerade bei einem M700 im Einsatz) auf SIP UDP+RTP belassen (fqdn = interne IP) und das Portforwarding und die WAN IP als FQDN am sekundären Interface mit SIP TLS und SRTP anzusiedeln. Beide Schnittstellen dürfen auch im gleichen Netzsegment angesiedelt sein.
Grüße,
Steve