1 вариант - поднять на Mikrotik VPN, запретить NAT для портов RDP.
2 вариант, от которого вы отказались - приготовить любым сервисом список подсетей для России и открыть доступ только для них.
Потом потратить некоторое время и "добить" попытки подбора изнутри этих подсетей.
Можно грубо - берете адрес, прогоняете через whois - если это не ваш клиент-баните всю подсеть, к которой он принадлежит.
В результате у вас в остатке будут-редкие попытки и еще более редкие жалобы, если кто-то из клиентов попытается работать из забаненной подсети.