Parece que você está bloqueando a conexão VPN de entrada. Todo o tráfego VPN do cliente deve ser encapsulado pela conexão VPN
O mascaramento já deve ser detectado por uma regra existente para todas as conexões de saída na eth0. Você não precisa adicionar essa regra.
As conexões VPN terão um dispositivo diferente. Pode ser necessário adicionar regras de aceitação para esse dispositivo. A nomenclatura do dispositivo depende do firewall e de como eles estão criando a interface virtual que eles usam.