У VPN-клиента Android есть
баг. Если в двух словах, для хэширования ESP используется алгоритм SHA2, но в его черновой 96-битной реализации. Можно настроить сервер на работу с этой реализацией параметром
sha2-truncbug=yes
, но тогда с ним перестанут работать клиенты с нормальной 128-битной. Мне помогло указание другого алгоритма
esp=aes256-sha2_512