O servidor openvpn é uma máquina virtual vmware em um servidor ESX / ESXi / VSphere?
Se sim, você pode precisar ativar o modo promíscuo no vmswitch.
O problema é que o comutador virtual vmware ESX não "aprende" o novo endereço MAC por padrão, ele apenas aceita o endereço MAC da VM e nada mais.
No modo bridge o endereço MAC do cliente TAP é usado na rede do servidor openvpn e se o vmswitch não estiver configurado corretamente, ele nunca funcionará (tcpdump mostrará o pedido ARP, mas nenhuma resposta ARP para os pedidos vpn na rede eth0 Até que um tcpdump não mostre as respostas do arp chegando para as requisições vpn, o vmware vmwitch ainda não está configurado corretamente (em algumas configurações, é necessário configurar o promíscuo para ativar em dois lugares)
mude o modo promíscuo seguindo este URL
Finalmente, o modo de ponte openvpn NÃO requer que o ip_forward seja habilitado. uma bridge de configuração correta openvpn requer uma ponte linux (digamos br0) com eth0 e tap0. Ambas são obrigadas a estar no modo promíscuo (geralmente configure a eth0 na configuração de rede da máquina e a tap0 no script up.sh). Se configurado assim, os pacotes vpn são simplesmente bridge e o linux ip_forward nunca é chamado.