Szerintem neked a kliens oldalon nincs, vagy nem jó helyen keresi a ca.crt-t
Nekem is voltak gondjaim, ezért úgy teszteltem, hogy egy már működő szerver configját importáltam.
Viszont pár érdekes dologra nem találtam magyarázatot. A kapcsolat csak akkor épül fel, ha a szerver-kliens IP-nek x.x.x.1 x.x.x.2 -t adok. Bármely más IP-nél netmask hibákkal elszállt. Ha a kapcsolat felépült, nem tudtam routolni, valószínűleg mert nem tud push route optionst a klienseknek. (kézzel kellett megoldani).