Проблема оказалась в конфигурации vpn-сервера, использовался ip unnambered для Virtual-Template, а в маршрутах, раздаваемых через опцию 249, был указан первый адрес из пула для vpn-клиентов, на котором никого не сидело.
С Windows такая конфигурация работает (в качестве маршрута назначения ставится ppp-интерфейс), а OS X отказывается принимать неправильные маршруты.