Нужно еще, чтобы маршрутизация была прописана на всем пути от клиента до сервера. Может быть, сервер не знает, что трафик до клиента нужно маршрутизировать через VPN-интерфейс?
Попробуйте добавить правило
iptables -t nat -I POSTROUTING -o tap_virty -d 192.168.234.15 -p tcp --dport 3389 -j MASQUERADE
Если после этого доступ по RDP заработает, значит есть озвученная выше проблема.
И покажите счетчики срабатываний у правил FORWARD и NAT, это тоже поможет понять, что не так.