1 klienses VPN-hez tényleg fölösleges a CCD (én írtam).
Viszont az aktuális pastebin alapján nem találtam iroute szabályt a ccd-n kívül, csak kikommentezve, pedig az kell. (Bár nélküle snat-tal is megoldható a fenti doksi szerint, de azt inkább hagyjuk most.)
ip route show talán mond valami okosat.
A tűzfalra a legegyszerűbb az lenne - nyilván csak teszt környezetben - hogy kikapcsolod a tűzfalat, azaz minden szabályt kivágsz a fenébe és mindenhol accept a policy.
Ha így megy, akkor a tűzfal a baj. Ha nem, akkor más.
++ Amit már rég javasoltam: openvpn loglevel fel az égbe, hátha látunk valamit.
És persze pastebin, vagy valami hasonló.