Vyřešil jsem to trochu nesportovně (ale fakt jsem s tím nemohl hnout).
Místo OpenWRT jsem na router nahral DD-WRT a tam se dá (od verze 24 - sp1) OpenVPN naklikat přes webové rozhraní (včetně certifikátu)... Pak už to jede v pohodě. Toto řešení má jednu nevýhodu - certifikáty jsou uloženy v NVRAM spolu s ostatní konfigurací routeru a na ostatní nastavovaní už nemusí zbýt místo, ale zatím je tam ještě pár kB volných. Druhá nevýhoda je, že jsem si na OpenWRT zvykl, ale tak třeba se mi časem zalíbí DD-WRT, stejně jak jsem pár měsíců remcal na Unity... :-D
Kdyb někoho napadlo, proč ta samá konfigurace jede na notebooku s Ubuntu 12.04 vpohodě a na OpenWRT se vše tváří že je OK, žádné chyby v logu ani na serveru ani na klientovi, ale pakety lezou místo do tap0 do eth0, tak určitě napište... Zkoušel jsem různě překopat routovací tabulku, ale stejně to nepomohlo. Když jsem Googlil, tak jsem pochopil že ten záznam default v routovací tabulce by měl být až úplně dole, protože routovací tabulka se prochází od vrchu dolů a měla by být seřazena od nejstriktnější masky podsítě (255.255.255.255) až po tu pro výchozí bránu (0.0.0.0). Ale na notebooku je routovací tabulka úplně stejně seřazená a pakety pro OpenVPN chodí správně přes tap0...
Je lepší používat tap nebo tun rozhraní? Vím že jedno je na nižší vrstvě něž druhé, ale co to ve skutečností má/nemá za výhody neruším...
Radek