Você precisa adicionar regras para que o tráfego do túnel seja aceito em sua interface externa. Você já permite o tráfego de saída por padrão, mas como a política padrão de entrada é deixar cair, perde todo o tráfego do seu túnel.
Tente algo assim em user.rules:
-A ufw-user-input -p 41 -s <remote tunnel endpoint> -d <your IP address> -j ACCEPT
Esta regra permite pacotes do protocolo 41 (também chamado 6 em 4) de para. Protocolo-41 é o protocolo usado para HE (e muitos outros) túneis. Se você não incluir essa regra, o firewall descartará (ação padrão) esses pacotes e você nunca receberá nada sobre o túnel.