note personnelle qui pourrait aussi être utile à tous les network sysadmins:

icmp type 3 code 4 AKA "unreachable - need to frag" doit être autorisé entre votre serveur VPN et le client. Dans le cas inverse, le client ne pourra pas adapter sa MTU au VPN, et les paquets ne pourront être routés.

Il se peut aussi que icmp type 11 soit utiles dans certains cas mais de facon moins évidente que 3/4 et un VPN.