En amont des ports qui pourraient être bloqués, c'est surtout le protocole d'encapsulation (ESP pour IPsec) qui n'est tout simplement pas autorisé par défaut sur les équipements professionnels.
Sur les équipements grand public c'est le contraire, les protocoles d'encapsulation (ESP pour IPsec, GRE pout PPTP, ...) et d'autres protocoles spécifiques aux réseaux NATés (NAT-T pour IPsec, ...) sont autorisés par défaut. C'est le fameux VPN pass-through qu'on voit souvent dans les spécifications.
Si tu disposes d'un nom de domaine, j'aurais tendance à utiliser le reverse proxy pour accéder au DSM. Ainsi, tu pourrais configurer les autorisations depuis l'étranger sans avoir à t'en soucier avant ton départ.
@Mic13710 : Je ne sais pas si les échecs d'authentification au VPN sont capturés par le blocage automatique.