automatik

Ну вообще нужно знать устройство вашего openvpn, может у вас там маршрутизация хитрая. В общем выглядит как-то так:

предполагаем, что политика INPUT и OUTPUT по умолчанию ACCEPT

#разрешаем loopback
iptables -A INPUT -i lo -j ACCEPT

#разрешаем icmp
iptables -A INPUT -p icmp -j ACCEPT

#разрешаем коннект на 6292 tcp
iptables -A INPUT -p tcp -m tcp --dport 6292 -j ACCEPT

#настраиваем openvpn (это порты по-умолчанию)
#разрешаем соединения на udp порт openvpn
iptables -A INPUT -i eth0 -m state --state NEW -p udp --dport 1194 -j ACCEPT

#разрешаем TUN соединения к openvpn серверу
iptables -A INPUT -i tun+ -j ACCEPT

#разрешаем форвардинг соединений с TUN интерфейса через другие интерфейсы
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 -o tun+ -m state --state RELATED,ESTABLISHED -j ACCEPT

#натируем клиентсткий vpn трафик в интернет (маску vpn подсети свою указывайте)
iptables -t nat -A POSTROUTING -s 10.0.0.0/16 -o eth0 -j MASQUERADE

#дальше настройка CloudFlare, взял отсюда https://rietta.com/blog/2012/09/10/using-iptables-to-require-cloudflare/
#
# CloudFlare Network has Access to HTTP (port 80)
#
iptables -A INPUT -s 204.93.240.0/24 -p tcp --dport http -j ACCEPT
iptables -A INPUT -s 204.93.177.0/24 -p tcp --dport http -j ACCEPT
iptables -A INPUT -s 199.27.128.0/21 -p tcp --dport http -j ACCEPT
iptables -A INPUT -s 173.245.48.0/20 -p tcp --dport http -j ACCEPT
iptables -A INPUT -s 103.22.200.0/22 -p tcp --dport http -j ACCEPT
iptables -A INPUT -s 141.101.64.0/18 -p tcp --dport http -j ACCEPT
iptables -A INPUT -s 108.162.192.0/18 -p tcp --dport http -j ACCEPT
iptables -A INPUT -s 190.93.240.0/20 -p tcp --dport http -j ACCEPT
#
# CloudFlare Network has Access to Encrypted HTTPS (port 443)
#
iptables -A INPUT -s 204.93.240.0/24 -p tcp --dport https -j ACCEPT
iptables -A INPUT -s 204.93.177.0/24 -p tcp --dport https -j ACCEPT
iptables -A INPUT -s 199.27.128.0/21 -p tcp --dport https -j ACCEPT
iptables -A INPUT -s 173.245.48.0/20 -p tcp --dport https -j ACCEPT
iptables -A INPUT -s 103.22.200.0/22 -p tcp --dport https -j ACCEPT
iptables -A INPUT -s 141.101.64.0/18 -p tcp --dport https -j ACCEPT
iptables -A INPUT -s 108.162.192.0/18 -p tcp --dport https -j ACCEPT
iptables -A INPUT -s 190.93.240.0/20 -p tcp --dport https -j ACCEPT

#RELATED,ESTABLISHED соединения разрешаем
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

#все остальное запрещаем
iptables -A INPUT -j REJECT --reject-with icmp-port-unreachable

Правила для CloudFlare будет удобней вынести в отдельную цепочку.

Нужно убедиться, что процессор поддерживает виртуализацию и включить её в BIOS, если она выключена. Затем устанавливаете Windows 2012 R2 Standard.

Включаете удаленное подключение по RDP. Свойства Моего компьютера - Настройка удаленного доступа - отмечаем Разрешить удаленные подключения и опцию ниже с проверкой подлинности на уровне сети.

Поднимаете службу Hyper-V (службы устанавливаются в Диспетчере серверов, который открывается при запуске автоматически либо доступен сразу на панели задач). В ней создаёте внутренний виртуальный коммутатор, который будете назначать виртуальным машинам. Тут 10 кликов, 5 минут времени.

Поднимаете службу RRAS. В ней поднимаете VPN (VPN вам желателен для администрирования, но можете и пропустить этот шаг, если дополнительная защита не нужна) и NAT (в NAT добавляем внешний сетевой интерфейс). В свойствах службы добавляем пул адресов, отличный от локального пула. Вашей учетке Администратора разрешаем удаленные подключения по VPN (в свойствах учетной записи). Тут 15-10 кликов, 10 минут времени. Гайд, например, здесь: winitpro.ru/index.php/2014/01/16/nastrojka-vpn-ser...

Если безопасность важна, тогда в настройках VPN на вкладке Безопасность укажите ключ IPSEC (пароль) и в Методах проверки подлинности оставьте только MSCHAP-V2.

В Hyper-V создаёте нужные вам виртуальные машины. ОС любая, однако некоторые unix-based системы запустятся только на первом поколении виртуальных машин (поколение выбирается при создании машины), когда как для свежих Windows желательно выбирать второе.

Для того, чтобы связываться с сервисами на виртуальных машинах, нужно пробросить к ним порты от хоста. Проброс делается в службе RRAS, а именно в NAT - выбираем ранее добавленный сетевой интерфейс - двойной клик - вкладка Службы и порты.

В брандмауэре (вполне сойдёт стандартный брандмауэр Windows, разумеется, если он грамотно настроен правилами) настраиваем правило для входящего подключения на порт RDP (3389, если не меняли) таким образом, чтобы доступ был только с пула VPN адресов.

Если хотите подобие SSH -- администрируйте с помощью netsh.

Попробуйте вручную средствами centos. В каталоге /etc/sysconfig/network-scripts/ в файлах с именами ваших сетевых интерфейсов (eth0, eth1) меняйте настройки. Например,

# Microsoft Corporation Hyper-V Network Adapter
DEVICE=eth0
BOOTPROTO=static
BROADCAST=192.168.0.255
DHCPCLASS=
HWADDR=00:15:5D:5A:73:02
IPADDR=192.168.0.7
NETMASK=255.255.255.0
NETWORK=192.168.0.0
ONBOOT=yes
GATEWAY=192.168.0.1

Тогда в /etc/hosts не забудьте дать ip вашему хосту, что-то типа

127.0.0.1 localhost 192.168.0.7 localhost.localdomain

А вообще если centos не позволит иметь несколько шлюзов по умолчанию, то нужно будет просто прописать статические маршруты (ip ro).