A2ROKirill

Комбинация DNAT + SNAT. Напишу правила iptables:

-A PREROUTING -d 1.2.3.4 -p tcp --dport 3389 -j DNAT --to-destination 5.6.7.8
-A POSTROUTING -d 5.6.7.8 -p tcp --dport 3389 -j SNAT --to-source 1.2.3.4

здесь 1.2.3.4 - это внешний ip роутера, 5.6.7.8 - это резервный сервер, 3389 - это порт, который слушают сервера.
В обратную сторону (от сервера к клиенту) ничего прописывать не требуется, происходит автоматически.

Для универсальности ответа добавлю вариант, когда между клиентом и основным сервером простая маршрутизация без DNAT (например, VPN между филиалами, и клиент ходит на основной сервер по серому ip):

-A PREROUTING -d 10.10.10.1 -p tcp --dport 3389 -j DNAT --to-destination 5.6.7.8
-A POSTROUTING -d 5.6.7.8 -p tcp --dport 3389 -j SNAT --to-source 1.2.3.4
здесь 10.10.10.1 - это адрес основного сервера.

Сервера yandex пытаются установить защищённое TLS v1.2 соединение по https. Об этом явно указано в документации. Либо вам нужно настроить поддержку SSL-соединений для http.server с самоподписанными сертификатом, либо воспользоваться готовыми решениями.