ky0

Дело не в путях, ошибка вот тут:

2022-05-24 16:17:36 OpenSSL: error:0A00018E:SSL routines::ca md too weak

Какая-то хрень у вас с корневым сертификатом. Покажите, как генерировали.

Если расскажете, каким образом реализован DPI - можно будет прикинуть список подходящих.

Никаких, впн к Тору отношения не имеет. Максимум - чтобы ваш Тор ходил ещё и через впн.

Домен использовать можно.

В промежутки, когда впн-сервер отвалился, а клиент ещё об этом не прочухал и не разорвал коннект - маршруты, которые идут через впн, работать не будут. Если вы весь трафик заворачиваете в впн - не будет работать ничего.

По скорости - вы всё правильно понимаете.

Обращать внимание в первую очередь нужно на квалификацию персонала, который будет эту VPS поддерживать. Если с ней не всё хорошо - всё остальное вторично.

OpenVPN вполне нормально работает даже на SOHO-роутерах со слабенькими процессорами, маловероятно, что вы сможете настолько его нагрузить, чтобы ядро нормального серверного процессора напряглось.

Да, нужно углубляться. Насчёт "в интернете мало инфы" - позабавили.

Выдать ему статический айпишник и прибить его на фаерволле.

Дело не только в маршрутизации, но и в настройках форвардинга пакетов на промежуточном узле и фаерволлах во всех трёх местах.

Возможно ли сделать это не прописывая правила фаервола для каждого клиента?

Для каждого клиента и не нужно - пропишите сразу для всех.

Шейпить гораздо проще на стороне сервера. Вопрос не относится напрямую к openvpn, методы примерно одинаковы для любой передачи данных и решаются настройкой не впн-сервера, а сетевого стека ОС.

Обычно в таких случаях делают отдельные учётные записи для разных устройств, либо выделяют отдельный пул адресов и включают duplicate-cn.

Прочитал кучу мануалов, но ответа не нашел.

Значит, нужно сначала читать мануалы по более низкоуровневым технологиям - виртуалки, ОС, сети.

при удалении маршрутов все работает.

Ну так да - если у вас не настроена маршрутизация на впн-сервере, интернет через него и не будет работать. Если хотите ходить только во внутреннюю сеть через впн - не отдавайте /1-маршруты.