Lieber Columbo,
bei DDNS wird die externe IP, also die WAN-IP Deines Netzwerkes (das ist die öffentliche IP, die Dein Router im Internet erhalten hat) einem entsprechenden DynDNS-Account "zugeordnet". Welches Gerät im Netzwerk diese Funktion ausführt, ist völlig belanglos (der Router wäre sinnvoller, weil er Änderungen als erster bemerkt)!
Du musst allerdings dem Router (also Deiner Witz!Box) mitteilen, dass wenn eine Anfrage z.B. auf Port 21 von extern(!) kommt, welches Gerät im internen Netzwerk diese Anfrage bearbeiten soll. Das nennt man Portweiterleitung. Diese findet im Router statt, da Selbiger quasi die Verteilerstelle zwischen dem Internet und Deinem Heimnetzwerk darstellt. Etwas Lektüre zum Thema könnte nicht schaden.
Diese Funktion wirst Du im NAS nicht finden, da Selbiges damit absolut nichts zu schaffen hat.
Für FTP benötigst Du Weiterleitungen (vom Router auf die interne IP des NAS) der Ports 20 TCP (Data), Port 21 TCP (Command) und ggfs. des passiven Portbereichs, der im NAS beim FTP-Server nachzulesen ist.
Darüber hinaus sind private FTP- und Webserver (gerade auf nicht "hochaktuell" gehaltenen NAS-Systemen) ein beliebtes Ausflugs- und Angriffsziel. Ich muss den Kollegen zustimmen, dass VPN m.U. die sicherste Alternative wäre - wenngleich auch die Aufwändigste.
Ganz ohne Portweiterleitungen kommst Du aus, wenn Du in der Witz!Box einen Port als Bridge-Port konfigurierst und die zweite Netzwerkschnittstelle des NAS daran anschließt. Allerdings hast Du dann auch gar keinen Schutz mehr für Dein NAS (z.B. durch die Firewall des Routers).
LG