Portweiterleitung für VPN wird nicht benötigt.
=> Löschen!
Siehe Screenshots,
mehr ist für einfaches VPN nicht zu machen,
Benutzer hast ja schon angelegt.
Auszug aus den EFW Docs.
client
dev tap
proto udp
remote your.remote.efw
resolv-retry infinite
nobind
persist-key
persist-tun
ca path-to-the-ca-certificate.pem
auth-user-pass
comp-lzodann müsste es ja gehen... 
ja eigentlich schon.
wie sind den die Routen am Client wen die Verb. aufgebaut ist? ( Da frag ich glaube ich schon das 4-5 mal danach )
Start => Ausführen => cmd (enter)
route print
das Ergebnis als Screenshot.. weil als Text klappt das mit der Formatierung nicht
Geduld.
Wir haben ja dein Netzwerk nicht vor uns stehen und können frei daran arbeiten.
Jetzt mal Screenshots von Einstellungen der Firewall,OpenVPN, OpenVPN Firewall usw.
was mir gerade auffält: wenn ich mien DYNDNS anpinge bzw. die IP direkt, dann kommt Zeitüberschreitung ... 
Mach mal die VPN Firewall aus.
das mit den DDNS Name kanns ein das die EFW von außen kein "ping" zu lässt und das Paket verwirft.
Ist praktisch bei Port Scannern, so wirkt das nach außen hin, dass die IP mit niemanden verbunden ist und man kann nervige Scans entkommen.
VPN Firewall aus
und geht noch kein Ping zur einem der Systeme ?
Wie steht es mit einem Tracert
Ziel IP auch mal das Grüne Interface der EFW
Wenn ich Kunden VPN offen habe und den Server per tracert anfrage sieht das so aus.
C:\Users\ffischer>tracert 10.62.9.30
Routenverfolgung zu DC1 [10.62.9.30] über maximal 30 Abschnitte:
1 112 ms 107 ms 109 ms 10.242.2.1
2 113 ms 109 ms 607 ms DC1 [10.62.9.30]
Ablaufverfolgung beendet.
C:\Users\ffischer>
Dabei ist 10.242.2.1 der VPN Gateway beim Kunden ( auch wen es keine EFW ist )
8 Schritte ?
Wo bitte leitet der dich hin?
Das sollte direkt vom Client der an OVPN Verbunden ist die nächste Hop das VPN GW sein.
Glaube das ist bei dir ein generelles Problem.
1. HOP muss die IP des GWs sein vom VPN
Wie sieht die restliche VPN Config aus ?