Si estoy leyendo tu pregunta correctamente, te estás conectando a tu VPN utilizando una combinación de autenticación de cliente TLS y una combinación de nombre de usuario / contraseña.
En este caso, un atacante MitM puede leer el contenido completo del certificado del cliente ( enlace al mensaje relevante en el protocolo de protocolo de enlace ), que puede incluir su nombre de usuario. El atacante no puede leer la combinación de nombre de usuario y contraseña porque se envían una vez que se completa el protocolo de enlace TLS y, por lo tanto, se encriptan.
La mitigación es simple a nivel de protocolo: no realice una conexión mutuamente autenticada con el servidor, sino una autentificada unilateralmente y luego deje que el servidor inicie una renegociación con la autenticación del cliente. Esto es diferente, ya que la conexión se cifrará con la suite de cifrado desde la primera conexión y, por lo tanto, un atacante no podrá escuchar su certificado de cliente.
Si esta mitigación no es posible por el motivo que sea, puede intentar que los dos nombres de usuario sean únicos y distintos. Por ejemplo, podría asignar al usuario un nombre común completamente aleatorio en el certificado, que se verifica en la base de datos interna / lista de control de acceso para a) tener acceso permitido yb) coincidir con la contraseña legible / elegida por el hombre. De esta manera, un atacante no puede aprender el nombre de usuario necesario para el par de nombre de usuario / contraseña. Por lo que puedo decir, tal configuración es posible con OpenVPN.