Radjah

ИМХО лучше поднять еще один, чтобы в случае чего не компрометировать основной туннель в случае утечки сертификатов.

Генерируешь сертификат CA, генерируешь сертификат сервера, генерируешь сертификат для клиентов.

Прописать маскарадинг для интерфейса со вторым сервером и пушить маршруты до внутренних сетей. Тебе же не надо две сети связывать, а только клиентов удалённых пускать.

Подключаться им можно хоть с мобильного, лишь бы провайдер VPN не блокировал.

push "redirect-gateway def1 bypass-dhcp" - это перенаправление всего трафика. Это надо убрать из конфига сервера и конфига клиента (без push), если есть.

Тебе нужно добавить push "route нужная_подсеть маска" для всех нужных ресурсов.

Тебе mesh нужно или доступ к сетям за клиентами?

Если mesh, то это делается с помощью tinc, например. Если второе, то делается прописыванием и раздачей маршрутов.

Арендуешь дешманский VPS не в самой заднице мира и крайне желательно не на OpenVZ, а на KVM. Ставишь туда OpenVPN, настраиваешь forwarding, раскидываешь конфиги с ключами по устройствам и пользуешься.

По деньгам должно получиться сильно меньше всяких провайдеров VPN в пересчете на трафик.

Первая ошибка - это неправильно заданная опция route в конфиге скорее всего или попытка повторно прописать маршрут. Без конфига сказать сложно.
Второе никогда не встречал. Или шум в эфире, или мамкины кулхацкеры, или проблемы с линком.

"Периодические разрывы"

Sun May 12 12:52:56 2019 TLS: tls_process: killed expiring key

- это обновление ключей шифрования.
Если происходит разрыв связи, то openvpn обычно ждёт 5 секунд перед повторной попыткой соединения.