Hay algunas cosas para entender.
La primera es que la mayoría de las herramientas de VPN se diseñaron originalmente para proporcionar conectividad privada a través de redes que eran inseguras, posiblemente natted o con firewall pero no hostiles activamente a las VPN.
La segunda es que TLS tradicional es un contenedor sobre TCP. TCP es una mala elección para las VPN porque sufre de "bloqueo de cabecera de línea". Si un paquete se pierde, todos los datos detrás de él se bloquean hasta que se retransmiten con éxito. Esto solía causar grandes problemas al ejecutar VPN a través de TCP, es un problema menor ahora que tenemos una retransmisión rápida de TCP, pero aún así no es lo ideal.
El tercero es que la inspección profunda de paquetes es algo bastante nuevo. Las redes que pasarán el tráfico TLS legítimo sin ser molestadas pero que no pasarán otro tráfico en el puerto 443 siguen siendo la excepción, no la regla.
Si bien Openvpn tiene una opción TCP, está diseñado principalmente para ejecutarse sobre UDP. Utiliza TLS para el intercambio de claves, pero cifra los paquetes de red reales utilizando un sistema diseñado explícitamente para ese propósito.
enlace
Alguien también debería decir algo sobre DTLS (TLS sobre UDP)
DTLS es un protcol bastante nuevo. No veo ninguna razón por la que no puedas / no debas construir una solución de VPN, pero supongo que los proveedores de software de VPN no están especialmente de humor para rediseñar su software.
En cualquier caso, no ayudaría con el escenario descrito en la pregunta.