Ja, es ist ein Unterschied, denn ein Router ist ein Router ist ein Router ist ein Router. Es macht schon einen Unterschied, ob Du hinter oder "vor" dem Router sitzt. Das beste Beispiel ist das Webinterface der Box. Auf dieses kannst Du im Normalfall auch nicht von der WAN-Seite zugreifen. Der Router trennt nun mal das Internet vom internen Netzwerk und routet den Verkehr entsprechend. Das Zauberwort heißt NAT. Die in den letzen Firmwareversionen eingeführte Fernwartung ist auch erst nachträglich auf anderem (zusätzlich gesichertem) Wege implementiert worden.
Um von extern eine Anmeldung zu ermöglichen, müsstest Du die entsprechenden Ports auf die Box selbst weiterleiten. Dieses wird aber von der Box selbst verhindert, um nicht eine Sicherheitslücke aufzureißen. Unabhängig davon gibt es auch Tricks, dieses zu erreichen. Ob Du Dir damit einen Gefallen tust, Dich aus unsicheren Netzen mit einer unverschlüsselten Verbindung auf einem Serverdienst Deiner Box einzuloggen, bleibt Dir überlassen. Jeder, der diesen Login mitsnifft, ist dann in der Lage, sich an deinem SIP-Server anzumelden und auf Deine Kosten unter Deiner Identität zu telefonieren - überall hin zu allen (Service-)Rufnummern, die von Deinem Anschluß (Festnetz sowie VoIP) aus erreichbar sind. Und diesen Mißbrauch könntest Du nicht einmal nachweisen. Ich denke mal, AVM tut gut daran diese Möglichkeit mit allen Mitteln zu verhindern, wenn sie sich nicht irgendwelchen Klagen aussetzen wollen. Wenn dann User diesen "Sicherheitsmechanismus" durch Modifikationen und manuelle Eingriffe aushebeln, sind sie zumindest aus dem Schneider. Abgesehen davon halte ich es aus mehreren Gründen für eine clevere Idee, diese Verbindungen über ein VPN zu sichern.
Gruß Telefonmännchen