Какой шифр мне следует использовать с openvpn с точки зрения производительности и безопасности?
В соответствии с http://openvpn.net/index.php/open-source/documentation/howto.html#security , значение по умолчанию - Blowfish, а рекомендация / пример - использовать AES-256-CBC для его большего размера ключа. 256-битный AES - лучшая практика?
AES-256-CBC, наверное, «лучший». Однако скорость AES-128-CBC примерно в 2 раза выше, по крайней мере, согласно openssl, и он отлично подходит для любого трафика, кроме трафика с самой высокой степенью защиты. OpenVPN довольно эффективен, и, по моему опыту, оба варианта работают очень хорошо.
Для шифра TLS вы можете выбрать хороший 256-битный шифр, и он не сильно замедлит работу, потому что канал TLS является только каналом управления и не несет большого количества данных по сравнению с основным каналом.