Osobně ti doporučím přechod na wireguard. Já už pomalu migruju všude, kde to jde. Ano, klient wg pro windows je strašný (pokud je user jen user a ne admin), ale jde to vohnout.

Napadá mě v té tvé souvislosti jen nastavení MTU, respektive nějaké jiné poškozování paketů a dost možná bych se kouknul přes Nartac IIScrypto jestli není systémově disablovaný CBC/SHA1. Jiný OVPN server jsi jen tak na zkoušku neotestoval?