garirobert

С виду у вас правильно. Правила у вас прописаны для таблицы NAT. Ниже работающий у меня пример на чистом iptables. Но только я пробрасываю на localhost

iptables -t nat -I PREROUTING -p tcp -d $внешний_IP/24 --dport 6607 -j DNAT --to-destination 127.0.0.1:3306

Включаем NAT, не забудьте заменить eth0 на имя своего внешнего интерфейса
sysctl -w net.ipv4.conf.eth0.route_localnet=1

Проверьте sysctl.conf еще раз. Не понял, а при чем здесь /etc/ufw/sysctl.conf? Вам нужен /etc/sysctl.conf

Попробуйте поднять Zerotier или nebula slack. их сложнее блокировать.
Общаться так же как в впн - по адресам внутри поднятой сети

Дополню - можно еще попробовать использовать промежуточный прокси-сервер. он в настройках опенВПН клиента указывается... их вроде не блокируют пока)

Изящное решение - это не детектируемый РКН VPN между VPS и домашней инфраструктурой и webdav протокол (SSL и HTTPS) в качестве транспорта и на современных ОС. Windows 10 поддерживает webdav из коробки, для других ОС есть клиенты.
Давать доступ по SMB, да еще к устаревшей ОС, да еще и возможно всему миру идея так себе.
Отваливаться на клиенте сеть из-за блокировок не может, а вот отваливаться при кривых настройках ВПН - более вероятный сценарий. Например включенный default gateway в VPN дает такой эффект.