https://www.grc.com/x/ne.dll?bh0bkyd2No puedes probar los 65535 puertos de golpe, pero los básicos en los que suele haber servicios de Windows y los rangos que quieras.
No sé ahora si hay algún servicio online que haga un test a todos los puertos. Puedes pedir a un amigo que se instale un programa para escanear puertos y que lo haga contra tu IP. Nota: si estás en un operador que ofrece CGNAT es como no hacer nada porque tu IP real no se corresponde con la pública. En Jazztel no sé de qué palo cojean.
En principio, salvo que esté configurado en DMZ (todo el tráfico a una IP local), los puertos, más que cerrados, están invisibles, cuando no hay una traducción NAPT, ya que el router no sabe a qué IP local redirigir las peticiones, normalmente. Por eso se dice, erróneamente, que NAPT da seguridad. Para el router, un paquete que llegue sin que este tenga una regla clara es como estar ciego.
La única seguridad de que un equipo es seguro es usar un firewall con reglas claras y específicas. (No me pidas consejo, que para nuevos sistemas no tengo ni idea y la mayoría se basan en las reglas propias de Windows desde XP, que tiene uno aunque nada amigable).
Para VPN los routers suelen llevar una opción de VPN passthrough, que suele solventar los problemas, pero si usas un software de terceros con puertos específicos, tendrías que usar NAT. Y hasta ahí puedo leer, porque no me he peleado mucho con las VPN.
