Через пару дней собрался, подумал и получилось в 2 шага:
1. На OpenVPN-клиенте (Windows 7) в брандмауэре в доп. настройках в правилах разрешил RDP для общественных сетей (моё VPN подключение числилось "Общественной сетью") (правило "Дистанционное управление рабочим столом (TCP - входящий)").
2. На шлюзе в iptables в цепочку fw-interfaces добавил правило:
[user@router ~]$ sudo iptables -I fw-interfaces 3 -s 192.168.10.2 -d 10.15.0.3 -p tcp --dport 3389
И всё заработало!