Allora non possiamo fare prove significative.
Comunque i prerequisiti ricapitolando sono:
1) IP WAN non nattato (e con FW questa certezza non c'è) e port forwarding configurato bene, cioè un portscan da WAN deve restituire porta aperta
2) DDNS configurato bene, cioè l'nslookup del DN deve restituire l'IP pubblico
Fatte salve alcune eventuali impostazioni secondarie lato VNC server (niente di vincolante, tanto più che in locale non hai problemi, segno che non dobbiamo preoccuparci del server), una volta soddisfatti i prerequisiti non c'è nessuna ostativa ragionevole alla gestione remota del server anche tramite DN.
Temporaneamente puoi riprovare con la connessione del vicino consenziente avendo cura che siano comunque rispettati i prerequisiti.
ps. in verità mi risulta che FW fornisca su richiesta IP pubblico, se è la tua connessione principale forse è il caso che verifichi la questione