2 derwin
Грубить не стоит. Не стоит также безосновательно сомневаться в проф. кач-вах других. Это вызовет обратный эффект. Сомнение в навыках "сомневающегося".

IAX для связки, ес-но, больше подходит. Я в этом и не сомневался. Он для этого и создавался. Однако, справедливо и то, что можно связывать и по SIP.

Вот здесь https://www.voip-info.org/asterisk-dual-servers/ хорошо описано в каких случаях связка 2-ух voip-серверов будет работать по SIP. Добавьте себе в закладки. Пригодится.

P.s. Насчет "чукчи". Для понимания того, с чем лично сталкивался. И как решал https://forum.asterisk.ru/viewtopic.php?f=6&t=2999&start=10#p78373 . Ник мой по ссылке такой же, как и здесь.

http://voip.rus.net/tiki-index.php?page=Asterisk+sip+type первая ссылка из гугла.
type=friend  - означает тип пира, его права на входящий и исходящий инвайт.

PS: чукча писатель, чукча не читатель?  ::)

type=friend

и

Password common for both trunks.
Trunk names used under Peer Details acts as the usernames.
Extension numbers should differ on each PABX otherwise it would not be possible to route calls correctly.

@derwin:

на самом деле фиолетово на протокол, на качество не влияет. IAX2 имеет другие плюшки,

Про кач-во речь не шла. Кач-во зависит от канала (задержки), от кодеков, к-ые исп-ся (opus - сила, но далеко не все железки могут). Дело в удобстве (один порт) и в возможности нативно использовать шифрование трафика, напр.

и они придуманы для связи астериск/астериск.

Можно и по sip связывать атс-ки, если уж на то пошло. Для чего сейчас можно (и нужно) использовать - это главное.

Но любая телефония через NAT это порно. Я бы рекомендовал ставить аппараты с OPENVpn. В туннель просто делаем статичный маршрут до OpenVPN и делаем его включенным всегда.
На VOIP телефонных аппаратах я так и делаю.

то находясь в офисной Wi-Fi сети (с той же адресацией 10.10.30.ххх) уже не могут подключиться к адресу 89.99.102.zz.

Как вариант-костыль, port forwarding на LAN-интерфейсе того, что идет во вне на 89.99.102.zz на локальный адрес Астера 10.10.30.3 (5060 TCP\UDP + RTP). Но нужно тестить. VOIP - штука капризная  :-\

Или dyndns (https://freemyip.com) + красивый совет от derwin. После настройки динднс в dns resolver пф создаете запись о том, что такое-то динднс-имя имеет локальный адрес 10.10.30.3. И указываете это имя в настройках сип-клиентов в кач-ве сип-сервера. Только обязательно лок. адрес пф должен быть 1-ым днс в сет. настройках клиентов (лучше автоматом по дхцп). Всё.

С вашим же решением, хоть и работающим, получается петля\loopback

З.ы. Кстати, крайне рекомендую вместо связки SIP+RTP пользовать IAX2, т.к. всего один порт для всего пользуется.
Тот же Zoiper отлично умеет IAX2.

Идём в  System > Advanced, в разделе Firewall/NAT
тут в параметре NAT Reflection mode for port forwards выбираем режим Pure NAT. И ставим две галочки Enable NAT Reflection for 1:1 NAT, и Enable automatic outbound NAT for Reflection.

Сохраняем настройки.