Si no he entendido mal tienes un router con conexión directa a internet al que has conectado a su vez un PC (que hace de router/firewall ya que está entre dos redes distintas).
Si ese PC no estuviera en medio sólo tendrías que abrir el puerto 3389 a la IP del PC al que quieres conectarte, sin más. En este caso, tendrás que abrir el puerto 3389 en el router hacia la IP del firewall, y además como segundo paso tendrás que configurar el firewall/router para que los paquetes que van hacia ese puerto vuelva a encaminarlos a la subred que tienes montada detrás.
Desconozco los detalles de cómo se hace eso ya que depende del software, y además nunca he tenido una topología así (yo tengo la red directamente detrás del router).
Saludos.
