Você instala o servidor VNC em cada máquina, sem alterações.
Em seu roteador / gateway de firewall / NAT, você atribui a porta para encaminhar internamente para o endereço IP. Ou seja, se você tiver um endereço IP eterno de aaa.bbb.ccc.ddd, atribua a porta 5900 para ir para a máquina interna 1 em aaa.bbb.ccc.ddd e, em seguida, 5901 para ir para a máquina 2 em aaa.bbb.ccc .ddd, em seguida, 5902 para a máquina 3 em aaa.bbb.ccc.ddd, etc.
Você não precisa de um mapeamento 1: 1 de "esta porta na interface externa vai para a mesma porta exatamente nesta máquina internamente." Eu tinha um gateway NAT que tinha uma porta na região das centenas que encaminhava para a porta 22 na minha máquina interna 192.168.x.x em casa.
Eu não sei o que exatamente você está tentando fazer, mas adicionaria uma observação de que, a menos que você esteja usando uma versão especial do VNC, você pode estar executando sem criptografia, que você pode querer ter o cuidado de abrir para a rede "pública".
Parece que o que você pode querer dizer ao fazer com que dois funcionem é que você encaminhou uma porta para a porta VNC de uma máquina e você encaminhou a versão do servidor web para outra máquina. Você precisa esquecer o mapeamento de portas 1: 1 ou você não vai chegar a lugar algum com a adição de mais servidores.
Sugiro strongmente que, se você não estiver criptografando conexões VNC, deverá configurar um firewall que permita conexões VPN e permita que as pessoas se conectem à sua rede interna via VPN. Isso elimina totalmente o encaminhamento de portas e também criptografa sua conexão, permitindo que sua rede tenha muito mais segurança, pois essa configuração que estamos descrevendo abre sua rede interna para possíveis abusos.