Ответ в теме: VPN туннели для подключения к сервису

Там серые должны быть. vpn только формирует канал, не надо их протаскивать дополнительно сквозь nat.
Если поднять с сервера астериска vpn канал до сервера vpn, тогда настройки для сип могут быть примерно такими.

sip.conf
[general]
externaddr=my.public.real.ip
bindport=5060
binaddr=0.0.0.0
localnet=192.168.0.0/255.255.255.0 (vpn net)

Тем кто подключается из серой сети нужен либо dns указывающий на серый ip, либо указание ip для подключения.

з.ы. Конечно же все пользователи попадут в одну сеть и надо запретить общение между собой серых ip и разрешить ходить только на сервер астериск это возможно решить фаерволом на nas(vpn) сервере. Вдруг комуто нужен будет интернет через vpn, вот тут лучше всего нат + можно использовать защищенный/фильтрованный dns (sкуdns[dot]ru или ореndns[dot]соm)

Ни в коей мере не хочу никого учить, просто мой взгляд со стороны, конечно же на деле все гораздо сложнее.