Добрый день. Под OpenVPN - у тебя отдельная сеть/интерфейс, под публичный интернет - тоже. Вижу два варианта:
1) Либо отменяй маскарадинг для всей OpenVPN сети и прописывай маскарадинг для конкретного ip-адреса
2) Либо играй с цепочкой OUTPUT для сети/интерфейса интернета. Запрещай всем, но разрешай конкретному ip.