2 Protokolle sind hier relevant: SIP und RTP.
SIP geht raus, der Port 5060 ist der Zielport auf dem Proxy/Registrar. Der Source Port des SIP clients auf dem Yealink ist höchstwahrscheinlich dynamisch. Deswegen ist einen Öffnung von 5060 zum Yealink sinnlos, unabhängig davon ob STUN verwendet wird oder nicht. Lediglich wenn dein SIP Client als Source Port 5060 forciert würde dies einen Unterschied machen, dass sollte aber grundsätzlich kein SIP client defaultmäßig machen.
Der NAT Router hält die UDP Verbindung auf dem rausgehenden port 5060 basierend auf seinem NAT Timeout aufrecht. Wenn der Timeout geringer ist als die periodischen REGISTER Meldungen des Clients, dann kannst du eingehende Anrufe verpassen (Session wird vom NAT Router gekillt, da der Timeout abgelaufen ist, das eingehende INVITE kommt nicht mehr an).
Ein "SIP/RTP NAT Helper" auf dem Router kann zusätzlich die benötigten Ports für RTP öffnen, was jeder NAT Gateway implementieren sollte (funktioniert bei verschlüsseltem SIP dann nicht mehr).
Ein aktivierter STUN Server sollte alle diese möglichen Probleme komplett umgehen.
Ein manuelles Port forwarding sollte niemals notwendig sein, außer du betreibst einen SIP server/proxy in deinem LAN und die Clients befinden sich im Internet.
