Какой openvpn шифр я должен использовать?
Необходимо попытаться остановить входящий трафик ICMP через брандмауэр.
Это отбросит пакеты на низком уровне, препятствуя тому, чтобы ОС выделила и обработала запросы (и также связанный вход, если таковые имеются). Это также предотвратит уродливые пакеты для подхождения к анализу.
Помимо ICMP, существуют другие пакеты, которые можно хотеть заблокировать. Посмотрите эту страницу.
Эта страница объясняет конкретно, как заблокировать пакеты ICMP.
AES-256-CBC is probably "the best". AES-128-CBC is roughly 2x the speed however, at least according to openssl, and is perfectly fine for all but the highest security traffic. OpenVPN is pretty efficient and so my experience has been that either works very well.
Для шифра TLS вы можете выбрать хороший 256-битный шифр, и он не сильно замедлит работу, потому что канал TLS является только каналом управления и не несет большого количества данных по сравнению с основным каналом.