Ora è chiaro...come si dice? ah...delle due una.
La tua situazione (com'è abbastanza normale che sia in certi ambiti aziendali) ricade nel caso di Pool di IP Pubblici Statici (Subnet pubblica, tipico Pool di 16 indirizzi, ovviamente non tutti utilizzabili) e quindi non avrai da affrontare alcun doppio NAT perchè la WAN del Firewall avrà a disposizione il suo bel indirizzo IP Pubblico, uno utilizzabile dal Pool assegnato (per inciso: Io l'avevo scritto che in queste condizioni avresti avuto un solo NAT e che questo si sarebbe manifestato sul Firewall appunto...e non due livelli di NAT...e quindi il NAT doppio non saresti MAI stato costretto ad attuarlo a meno di non avere una configurazione davvero particolare [doppio Firewall back to back] ma sono cose da Anti-Cyber-Attack tipo Double Bastion Host). Il Router diventa dunque un Bridge.
Sul tema della 5060...non credo proprio che il problema stia dalla parte dell'OSO...che, da questo punto di vista, è (varie) RFC compliant...e sulla 5060 non ho grandi dubbi (prova ne è che dalla Subnet interna ti registri usando la 5060). Secondo me c'è qualche cosa che interviene quando la richiesta di registrazione proviene dall'esterno e quindi il Firewall è l'imputato "number one".
A questo punto la domanda viene spontanea: che Firewall stai usando?
Saluti, Kimera.