Em uma instância padrão, o SQL Server escuta TCP/1433 por padrão. Isso pode ser alterado. Em uma instância nomeada, a menos que configurado de forma diferente, o SQL Server escuta em uma porta TCP dinâmica. O que isso significa é que, se o SQL Server descobrir que a porta está em uso, ele escolherá outra porta TCP. Como os clientes geralmente encontram a porta certa no caso de uma instância nomeada é conversando com o SQL Server Listener Service/SQL Browser. Isso escuta em UDP/1434 e não pode ser alterado. Se você tiver uma instância nomeada, poderá configurar uma porta estática e, se precisar usar a autenticação/delegação Kerberos, deve fazê-lo.
O que você precisará determinar é em qual porta seu SQL Server está escutando. Em seguida, você precisará entrar em contato com seu pessoal de rede/segurança para determinar se eles permitem a comunicação com essa porta via VPN. Se estiverem, conforme indicado, verifique as configurações do firewall. Alguns sistemas possuem vários firewalls (meu laptop é um exemplo). Nesse caso, você precisará verificar todos os firewalls em seu sistema.
Se todos estiverem corretos, verifique se o servidor não possui uma política IPSEC que restringe o acesso à porta do SQL Server via endereço IP. Isso também pode resultar em você ser bloqueado.