No servidor, você precisa decidir como autenticar usuários com uma combinação de nome de usuário / senha.
AFAIK, a maneira mais comum é usar o plugin PAM do openVPN. Para seus propósitos, você precisaria ter as seguintes entradas em seu server.conf:
username-as-common-name
client-cert-not-required
plugin /usr/lib64/openvpn/plugins/openvpn-plugin-auth-pam.so openvpn
Você também precisaria criar uma configuração do PAM para o openvpn (por exemplo, /etc/pam.d/openvpn).
Se você estava usando o RADIUS para autenticar usuários, sua configuração do PAM pode parecer:
account required pam_radius_auth.so
account required pam_radius_auth.so
auth required pam_radius_auth.so no_warn try_first_pass
E você armazenaria os detalhes do servidor RADIUS em /etc/pam_radius.conf.
No lado do cliente, sua configuração pode ser tão pequena quanto:
client
ca server.pem
dev tun
nobind
comp-lzo
cipher BF-CBC
cipher AES-256-CBC
cipher AES-128-CBC
Basta adicionar seu controle remoto lá e ele deve funcionar.