История изменений

rp_filter это то, что через /proc/sys/net. Фильтрует пакеты отдельно от iptables, чтобы не было «левых» src-ip адресов, не должен заметно нагружать. 500 правил не должны создать перегрузки, особенно если в начале будет "--ctstate --ESTABLISHED -j ACCEPT"

По поводу windows ничего определённого сказать не могу, очень давно её не админил и никогда не устанавливал openvpn тунель с ней. tap, ИМХО, будет нагружать больше, так как требует передачу ethernet-заголовков. С другой стороны, на сайте openVPN написано, что tun вызывает netsh команду в винде и «some problems have been reported with this command on Win2K at lower service packet levels.» И, возможно, у вас в винде возникнут проблемы в ихнем фаейрволом, там, насколько я знаю, система любит запретить входящие соединения (разрешить только пакеты, приходящие в ответ на соединение, инициализированное самой виндой) и это может возникнуть при установки обновлений или нового антивируса...

rp_filter это то, что через /proc фильрует пакеты отдельно от iptables, чтобы не было «левых» src-ip адресов, не должен заметно нагружать. 500 правил не должны создать перегрузки, особенно если в начале будет "--ctstate --ESTABLISHED -j ACCEPT"

По поводу windows ничего определённого сказать не могу, очень давно её не админил и никогда не устанавливал openvpn тунель с ней. tap, ИМХО, будет нагружать больше, так как требует передачу ethernet-заголовков. С другой стороны, на сайте openVPN написано, что tun вызывает netsh команду в винде и «some problems have been reported with this command on Win2K at lower service packet levels.» И, возможно, у вас в винде возникнут проблемы в ихнем фаейрволом, там, насколько я знаю, система любит запретить входящие соединения (разрешить только пакеты, приходящие в ответ на соединение, инициализированное самой виндой) и это может возникнуть при установки обновлений или нового антивируса...