Con "apri sul loro router" presumo tu intenda l'apertura a Internet. Consiglierei contro questo. Remote Desktop Protocol è sensibile a nota attacchi. Anche tu dici "rattoppato", ma anche la scorsa settimana Microsoft ha pubblicato un bollettino sulla sicurezza contro RDP :
This security update resolves two privately reported vulnerabilities
in the Remote Desktop Protocol. The more severe of these
vulnerabilities could allow remote code execution if an attacker sends
a sequence of specially crafted RDP packets to an affected system.
Raccomando vivamente di inserire una sorta di gateway di sicurezza (ad esempio firewall autenticato, VPN ...) tra gli utenti e il servizio RDP.