Parece, à primeira vista, um problema de NAT com o auxiliar do protocolo FTP falhando por causa da criptografia TLS e eu esperaria que isso se tornasse um problema de firewall também.
Alguns antecedentes aqui em uma resposta minha mais antiga.
A solução provavelmente é corrigir o intervalo de portas TCP passivas que o FTP sobre SSL pode usar, fazer com que o servidor FTP anuncie o endereço IP externo em vez do endereço IP real (a diretiva pasv_address
no VSFTPD) e criar regras de NAT estáticas para essas portas.