non ci ho capito granche' dello schema, ma in linea di principio :
1) io metterei su una vpn, casomai con tinc o wireguard che hanno una bella larghezza di banda tra i due punti
2) nel punto da " limitare" metterei una serie di regole di firewall e routing per cui va verso i siti o i protocolli autorizzati attraverso la connessione propria, verso il nas e stampanti condivise e altro attraverso la vpn
3) il voip funziona se nel punto "accessibile a tutto" ci metti un server asterisk e fai registrare i telefoni su quel server asterisk passando nella vpn. Oviamente devi registrare asterisk sul tuo provider.
Nel caso il provider sia tiscali, ci sta da ricompilare asterisk
Riguardo la risposta fornita da Francyesco, esattamente, o prendi altri router piu " completi" oppure a valle dei tuoi ci devi mettere " qualcosa" ( vecchio pc oppure raspberry) che ti tengano su la connessione tra i punti
personalmente ho collegato due sedi di uno spedizioniere, ciascuna con propria connettivita, condividono voip, stampanti, bollettazione merci ma poi ognuno naviga per se ( o non vaviga se vuoi " castrare" qualcosa)
Tutte regole di routing e firewall. Fatto con routerboard mikrotik
post scriptum :n se le due sedi usano entrambe 192.168.1.xxx sarebbe opportuno se si puo' cambiare la subnet di una delle due a, che so, 192.168.2.xxx
