Suas regras do Netfilter estão na ordem errada: O terceiro nunca é atingido porque é um caso especial da segunda regra.
Em condições normais, os pacotes enviados por openvpn
pertencem à raiz, porque o privilégio de superusuário é necessário para configurar uma interface e um roteamento. Assim, as regras específicas do usuário não devem corresponder.
Você pode usar tcpdump
para verificar se os pacotes da nova conexão OpenVPN saem do seu sistema. Se não, você pode usar o TRACE alvo do Netfilter para ver o que acontece com eles.