Поднимаешь на сервере WireGuard, WG-Easy тебе в помощь

На клиентах ставишь WGTunnel
Выбираешь только .exe RDP

Можешь подключаться по внутреннему IP на сервере, они будут статикой. Через сайт можешь поменять когда захочешь

Готово, трафик идёт только у выбранных запускаемых файлов