Сервер за VPN

Vpn какие внутренние адреса выдает?

Это оно, если я правильно понял? Из конфига OVPN:

# Configure server mode and supply a VPN subnet

# for OpenVPN to draw client addresses from.

# The server will take 10.8.0.1 for itself,

# the rest will be made available to clients.

# Each client will be able to reach the server

# on 10.8.0.1. Comment this line out if you are

# ethernet bridging. See the man page for more info.

server 10.8.0.0 255.255.255.0

В файле конфигурации ts3server.ini вам нужно привязать его к ip адресу VPN сервера:

voice_ip=10.8.0.1

filetransfer_ip=10.8.0.1

query_ip=10.8.0.1

Или закрыть через iptables возможность подключения к портам TeamSpeak с внешнего интерфейса (по которому у вас подключен интернет).

Не помогло

Как это можно сделать?

Покажите выхлоп у команд для начала:

ifconfig

iptables -L -n -v

iptables -L -n -v -t nat

netstat -nlp

Не помогло в смысле TS снаружи доступен или недоступен через VPN?

Вот

ТС доступен снаружи по внешнему IP и через VPN по 10.8.0.1

По всей видимости, параметры в настройках ts3server.ini не применились по какой-то причине - т.к. у вас на выводе netstat видно, что ts3server по прежнему прослушивает порты на всех интерфейсах (0.0.0.0).

Вы редактировали именно тот файл, который используется сервером? Надеюсь, не забыли его перезапустить?

А закрыть доступ с внешнего интерфейса с помощью iptables в вашем случае можно так:

iptables -A INPUT -p tcp -i eth0 --dport 10011 -j DROP

iptables -A INPUT -p tcp -i eth0 --dport 30033 -j DROP

iptables -A INPUT -p udp -i eth0 --dport 9987 -j DROP

Да, правила для iptables помогли, спасибо.

У меня не было файла ts3server.ini вообще, я его создал и попробовал прописать там, но, видимо, нужно запускать сервер с каким-то параметром, чтобы конфиг подтягивался? Да, тимспик я всегда перезапускаю при изменениях.

Скажите, лучше ограничивать это на уровне тимспика или все же через iptables?

Лучше на уровне тимспика.