Esta pregunta explica que OpenVPN utiliza dos canales para transferir datos .
Primero configura una conexión TLS (llamada control canal) y la usa para transferir una clave simétrica y algunos otros datos de control. Luego, configura otro canal ( datos ) y comienza a transferir los datos reales encriptados con la clave.
¿Por qué el segundo canal? ¿Por qué no transferir simplemente todos los datos utilizando TLS?
Hay algo de verdad en las otras respuestas, pero la razón principal es diferente: porque OpenVPN fue diseñado como IP sobre UDP, mientras que TLS se ejecuta sobre TCP. Además, las versiones iniciales de OpenVPN no tenían ningún intercambio de claves, pero ya tenían su propio protocolo de canal de datos (mejor diseñado que TLS). Entonces, cuando se agregó TLS, tenía sentido atenerse a eso para el canal de datos.
(Hoy en día hay DTLS que se ejecuta sobre UDP, pero no existía cuando se creó el protocolo OpenVPN).
OpenVPN no está diseñado solo para un tipo de intercambio de claves. Hay varios tipos de intercambio de claves soportados por OpenVPN. En lugar de crear un nuevo protocolo para cada tipo, los desarrolladores usan un solo protocolo, el canal de datos, y permiten que diferentes funciones proporcionen la clave utilizando sus propios protocolos, como TLS. Además, esto permite que se usen funciones como --tls-auth para proporcionar funciones de seguridad que el TLS simple no proporciona ( en este caso, la autenticación antes de que TLS entre en juego, como una segunda línea de defensa).
La documentación de OpenVPN explica los dos tipos predeterminados de intercambio de claves, claves estáticas y TLS.