O OpenVPN foi projetado para ser seguro. Só permitirá clientes que tenham as chaves assinadas por você. O mais importante é manter as chaves privadas seguras. Sempre criptografá-los nos clientes e verifique as permissões no arquivo de chaves no servidor. Não mantenha as chaves privadas da CA no servidor, elas não precisam delas. Criptografe, coloque-o em um pendrive e proteja-o.
Os scanners de portas não terão problemas para encontrar o servidor em qualquer porta, mas não poderão usá-lo. Se você sabe que você só vai usá-lo a partir de um conjunto limitado de endereços IP, então desabilite tudo o mais com o iptables. No entanto, a maioria das pessoas tende a usá-lo em locais variados, por exemplo, com um laptop. Você pode banir automaticamente os IPs que tentarem chaves inválidas, mas a bruteforcing de chaves RSA como essa é inviável mesmo assim.
Se as chaves são seguras, então o maior risco é algum bug na implementação do OpenVPN, o que o torna vulnerável a ataques. Se isso acontecer, um invasor poderá executar um código arbitrário com os privilégios do processo do servidor OpenVPN. Você pode diminuir o efeito desse tipo de ataque, não executando o servidor como root. Adicione isto à configuração do seu servidor:
user nobody
group nobody
Seu arquivo de configuração parece usar uma sintaxe diferente da minha, mas algo assim deve ser suportado. Você pode experimentar o patch do grsecurity para o kernel, mas não tenho certeza se ele funciona em sistemas embarcados e seria muito ruim se você o tornasse não inicializável por acidente. Isso torna mais difícil a exploração de erros arbitrários de execução de código.
Você também pode aumentar os tamanhos das chaves. Teclas de 1024 bits podem se tornar quebráveis em um futuro próximo, se ainda não estiverem. Certifique-se de não gerá-los com o OpenSSL do Debian. :)
É minha opinião pessoal que a filtragem de endereços MAC é absolutamente inútil. É fácil falsificar e os mais válidos podem ser encontrados facilmente. Use WPA2 CCMP com uma chave aleatória longa de 63 bytes e você deve estar OK. Não deixe que as pessoas conectem cabos aleatórios.
Eu sei que não há muitos recursos disponíveis nos roteadores, mas você pode tentar fazer o log. Tenho quase certeza de que não haverá espaço suficiente no roteador, registre-o em outro host. O syslog-ng pode fazer isso facilmente. Eu não sei como é fácil instalá-lo em um roteador.