Ваши правила не имеют смысла для описанного вами сценария.
Я соглашусь, что цепочка CONNTRACK
обрабатывает входящие пакеты VPN, поэтому ваша VPN будет работать.
Однако, если вы хотите, чтобы VoIP работал через VPN, то вам не нужно никаких правил на red0
, которые обрабатывают SIP трафик.
Похоже, что вы хотите принимать незарегистрированные SIP звонки на ваш публичный IP-адрес, но ваш поток трафика идет наружу через VPN. Это запутает звонящего, потому что исходящий IP-адрес не будет соответствовать вызываемому целевому адресу.
Опять же, при обычном способе запуска SIP клиента он будет регистрироваться на конечной точке/прокси, и поэтому вам не потребуется никаких правил, кроме общих ACCEPT RELATED, чтобы правильно разрешить поток трафика. (Возможно, вам понадобится объявить публичный IP-адрес в Twinkle; это зависит от того, насколько хорошо он может использовать STUN или ICE для его обнаружения.)
На данный момент я бы настоятельно рекомендовал вам временно отключить брандмауэр, сбросить политики цепочки INPUT, OUTPUT, FORWARD на ACCEPT и посмотреть, работает ли это. Затем вы можете начать применять правила брандмауэра.