Seu tráfego "limpo" não criptografado vai para tun0, onde o openvpn o encapsula e criptografa, e envia-o para fora da eth0 para o gateway remoto, onde é descriptografado.
Então, se você bloquear eth0, você impedirá que os pacotes criptografados sejam enviados para o gateway remoto.
tun0 fornece um caminho de roteamento. Se você enviasse seus pacotes diretamente de eth0, eles não seriam criptografados, eles seriam liberados. tun0 tem seu próprio endereço IP e os pacotes destinados à rede remota são roteados para esse endereço IP.