Пойдем от сложного к простому:
1) Все выдумывают велосипеды, оказывается для защищенного соединения с гарантированной защиты от мамкиных хакеров уже все давно есть и придумано до нас... называется SSH. Нужен конечно белый IP.
Я сам пользуюсь RDP по SSH тунелю. SSH сервер устанавливается даже в винде в 2 клика.
Клиент SSH уже есть в винде изначально. Осталось сделать SSH тунель. На роутере никаких 3389 не прокидываем, а прокидываем 22-й порт (или любой другой) на 22-й порт винды.
Пример запроса на SSH тунель в Powershell
ssh -L 0.0.0.0:3389:127.0.0.1:3389 -p 22 @
На RDP клиенте подключаемся на 127.0.0.1, попадаем на удаленную винду.
PROFIT!
2) С другой стороны если у тебя есть белый IP, то не проблема установить VPN, тот же Wireguard. Делается это за 10 минут. Мануалов тонна, работает прекрасно, клиент есть на всё, даже на кофеварку. В чем проблема в такой схеме ?
3) Но конечно надо уже заканчивать заниматься извращениями и использовать современные инструменты, к примеру RustDesk