Buenas,
Una cosilla antes de nada... el overload del final no lo veo muy claro xD Tiene sentido para hacer PAT de dentro a fuera pero al reves no, ademas de que al menos a mi nunca me ha aparecido como opcion. Igual lo has puesto de memoria y te has despistado... ;) bueno y que has puesto tres veces el puerto también me hace imaginar que con las prisas por poner el post se te ha lidao un poco el comando :P ;)
A ver si te sirvo de ayuda ;) Hay dos opciones que yo conozca. La 2 que expondre solo con ip statica publcica.
La primera es senciall. Poner al servidor una 2a ip sobre la misma interfaz y tirar ahi el ip nat ... Mejor usar la 2a esta, virtual, para el nat ya que esa ip no se hace servir desde fuera y asi, la ip que tiene el servidor tambien es la que usas por la vpn. No se si me lio explicandome... ;)
La otra alternativa es algo estatica...
primero requiere una access-list:
ip access-list extended exclude-vpn-statics
permit ip 192.168.0.0 0.0.255.255 10.13.116.0 0.0.0.127
10.13.116.0 en realidad seria la direccion de red de tu ip publica, pero por no poner una ip real pues he puesto esa. Lo que defines es, a la iquierda el rango de tu red privada y a la derecha de la access-list, como destino, la red de tu ip publica. No me preguntes porque pero es así, según un documento de cisco que ahora no tengo a mano ;)
El siguiente paso es un rotue-map usando es ACL:
route-map exclude-vpn-statics permit 10
match ip address exclude-vpn-statics
set ip next-hop 10.13.116.1
El next-hop es el gateway de tu red publica, vamos la puerta de enlace de la interfaz con ip publica.
Eso, simplemente aplicandolo en la ip nat, ya estaria:
En tu caso, y usando para el ejemplo la 10.13.116.10 como tu supuesta ip publica:
ip nat inside source static tcp 192.168.0.2 3389 10.13.116.10 3389 route-map exclude-vpn-statics
Solo hace falta que uses el formato con el route-map en tantas statics como te haga falta que sean visibles por la vpn dichos puestos, que en principio serian todos imagino.
Espero que sea de ayuda. El formato de usar la 2ip en el servidor pues lo usaba al principio hasta que descubrí esta otra forma. Aunque en conexiones con ip dinamica, como veras por la forma en que hay que hacerlo con el route-map, no me queda mas remedio que usar la 1ra opcion, con la 2a ip ;)
Saludos ;)
imakoki