Pokud si vytvoříš svůj VPN server, tak se přihlásíš k VPN, dojde k vytvoření tunelu a pak budeš vlastně ve stejné síti jako tvůj Windows server. Pak se připojíš na 3389, ale ten nebude přístupný zvenku.

Další možností je změnit 3389 na jiný port, na to stačí zápis v registru:
https://docs.microsoft.com/en-us/windows-server/remote/remote-desktop-services/clients/change-listening-port

Z pohledu bezpečnosti je VPN lepší, můžeš si nastavit bezpečnost přes certifikát nebo další metody.
Pokud je ten server vystavený do internetu, pak by bylo vhodné nastavit firewall a na něm povolit pouze porty, které chceš, aby byly zvenku opravdu viditelné.