No lado do servidor VNC, na interface do roteador, você precisa fazer o encaminhamento de porta para a porta VNC (geralmente 5900). A interface ou kit de ferramentas de cada roteador pode ser diferente. Você pode inserir route -n para aprender o gateway padrão (que é o endereço IP em que o roteador está definido na LAN. Normalmente, o roteador escuta na porta 80 pela interface, para que você possa digitar o endereço do gateway padrão no navegador) .
Outra solução pode ser configurar um servidor openvpn, adicionar seus computadores como clientes, ativar a conexão cliente-cliente. Desta forma, através da interface tun0, somente através da porta 1194, os computadores podem se ver como se estivessem na mesma LAN, mesmo que estejam atrás de roteadores. Você pode usar uma instância mínima do AWS EC2 com um IP elástico (estático) para isso. A porta UDP 1194 deve estar ativada no EC2 (não apenas no iptables, mas nas configurações de segurança do EC2).