Ci sono alcune cose da capire.
Il primo è che la maggior parte degli strumenti VPN sono stati originariamente progettati per fornire connettività privata su reti che erano insicure, eventualmente nate o firewall ma non attivamente ostili alle VPN.
Il secondo è che TLS tradizionale è un wrapper su TCP. TCP è una scelta sbagliata per le VPN perché soffre di "head of line blocking". Se un pacchetto viene perso, tutti i dati dietro di esso vengono bloccati fino a quando non vengono ritrasmessi correttamente. Questo ha causato grossi problemi durante l'esecuzione di VPN su TCP, è meno di un problema ora che abbiamo la ritrasmissione TCP veloce ma è ancora meno ideale.
Il terzo è che l'ispezione approfondita dei pacchetti è una cosa abbastanza nuova. Le reti che passeranno il traffico TLS legittimo non molestato ma che non passeranno altro traffico sulla porta 443 sono ancora l'eccezione e non la regola.
Sebbene Openvpn abbia un'opzione TCP, è progettato in modo primitivo per funzionare su UDP. Utilizza TLS per lo scambio di chiavi ma crittografa i pacchetti di rete effettivi utilizzando un sistema progettato esplicitamente per tale scopo.
link
Someone should say something about DTLS (TLS over UDP) too
DTLS è un protcol piuttosto nuovo. Non vedo alcun motivo per cui non potresti / non dovrei costruire una solitaria VPN su di essa, ma suppongo che i fornitori di software VPN non siano particolarmente in vena di riprogettare il loro software.
In ogni caso non sarebbe di aiuto con lo scenario descritto nella domanda.