Спасибо за инс-цию.
Замечания :
1. Нет маршрута в сеть за сервером для клиентов - push "route …" в Advanced configuration сервера или в настройках сервера - IPv4 Local Network/s . Ваша директива route … рисует роут для сервера в сеть клиента. Для того , чтобы машины за сервером попадали в сеть за клиентом исп-ся директива iroute <сеть за клиентом> в Client Specific Overrides
2. В версии 2.2.х (или даже 2.1.х) необходимо явно нарисовать разрешающее правило в fw на LAN для того, чтобы машины за сервером попадали в сеть за клиентом. И поставить его повыше (или самым первым вообще). Уже многие здесь с этим столкнулись.
3. Клиента для Win устанавливать от имени Админа, т.е. прав.кн.мыши "Запустить от имени Администратора". Иначе могут роуты не добавляться при поднятии туннеля. Рекомендуется и запускать от имени Админа (проверить этот момент)
4. В конф. файле Win-клиента в самый верх после dev tun я добавляю :
keepalive 5 10 # можно и увеличить время по желанию
ping-timer-rem
Иногда маршруты не добавляются. Помогает добавление директив в конец (под разные вер. Win пробовать одну из них) :
route-delay 5 # задержка при добавлении роута в сек
route-method exe
ip-win32 netsh
И в самом конце :
pull # не обязательно
verb 3
5.
Server Mode: Remote Acces (SSL/TLS)
Protocol: UDP
Device mode: tun
Interface: WAN
Local port: 1194
Я бы не исп. стандартный порт. Нет, конечно врядли кто-то сумеет подключиться без логин-пасс\сертификаты, но все же.
Или исп. порт выше 10 000 или , если будете подключаться из корп. сети со злыми админами, то исп. порты 80\TCP,
443\TCP, 53\TCP_UDP , порты почтовых служб - SMPTS, POP3S, IMAPS. Чаще всего описанные стандартные порты открыты во вне даже в сетях со строгими правилами.
6.
Создаем клиентское подключение.
VPN -> OpenVPN вкладка Client Specific Override
http://192.168.1.1/vpn_openvpn_csc.php
Нажимаем "Плюс", [add csc]
Common name: my.vpn.remote.client [внимательно и аккуратно копипастим из нашего третьего сертификата, поле common name. без пробелов. без лишних знаков.]
Description: My laptop mobile client [Для удобства заполняем описание, чтоб оптом через год вспомнить к кому это относится]
Tunnel Network: 192.168.2.4/30 [закрепляем за этим клиентом IP адрес, для удобства]
Вами описан случай, когда один клиент - один сервер. Если же это подключение исп-ся десятками клиентов, к-ые исп. один и тот же конфиг, то делать так не стОит.