Você provavelmente precisará criar uma regra de firewall que permita que os clientes se comuniquem uns com os outros. Se você quer apenas que eles façam ping, você precisará permitir que os pacotes ICMP passem. Se você quiser mais do que ping, você precisará especificar regras adicionais. Se você usar regras iptables para permitir a comunicação entre clientes, então, livre-se do "client-to-client" em sua configuração openvpn.
Por exemplo:
iptables -I INPUT -m conntrack --cstate ESTABLISHED,RELATED -j ACCEPT
iptables -I OUTPUT -m conntrack --cstate ESTABLISHED,RELATED -j ACCEPT
iptables -I FORWARD -m conntrack --cstate ESTABLISHED,RELATED -j ACCEPT
iptables -I FORWARD -s 192.168.255.3 -d 192.168.255.4 -p ICMP --cstate NEW -j ACCEPT
iptables -I FORWARD -s 192.168.255.4 -d 192.168.255.3 -p ICMP --cstate NEW -j ACCEPT
As três primeiras regras dizem ao firewall para permitir conexões relacionadas a conexões já estabelecidas
Os dois últimos permitem que os pacotes ICMP (ping) sejam encaminhados de um cliente para o outro.