Eu vou adivinhar quando você está conectado à VPN que é uma porta de saída, não de entrada. Quando você se conecta, seu roteador mostra que a porta está sendo aberta porque alguma porta precisa estar aberta para que a VPN funcione.
Eu não gostaria de enfatizar esta porta sendo aberta enquanto você estiver conectado à VPN. Você está bloqueando pacotes ICMP na WAN (porta de internet)? Em caso afirmativo, isso impedirá que 99,9% dos usuários de verificação de endereços digitalizem até mesmo para ver se a porta 88 está aberta, porque os scanners geralmente fazem ping em um endereço para ver se ele responde. Se isso não ocorrer, o scanner continuará e não tentará verificar a porta, a menos que um invasor saiba que há um computador nesse endereço IP. Você teria que ser uma pessoa muito específica nesse momento. As chances disso são muito muito pequenas (a menos que você faça questão de irritar as pessoas que sabem muito sobre networking). Mesmo se um invasor soubesse que um computador estava em um endereço IP, mas bloqueando o ICMP, e eles soubessem que a porta 88 estava aberta, eles teriam que ser capazes de explorar alguma vulnerabilidade no protocolo / serviço para atacá-lo.