Дело в том что нужен именно опен. Так как стоит и на пк ина мобилках у всей ихней семьи . шадовсокс или ваергвард даже не знаю как себя там поведут. Сам не там поэтому проверить не могу.
Замените на tcp. Я не сильно удивлен, что у прова что-то срабатывает на 443/udp. И что бы два раза не вставать, повесьте ещё один инстанс на udp только не на порту <1024, куда нибудь повыше. С большей вероятностью, что-то да будет работать. Я такую связку использую много лет. Если не брать места с http proxy only, то первый или второй вариант срабатывает.
Можно попробовать настроить сервер в режиме preshared key, без сертификатов. DPI может только передачу сертификатов обнаружить, а без них траффик вообще не будет содержать опознаваемые маркеры.
У меня был опыт работы с VPS провайдером, который имел привычку влазить на виртуальные машины клиентов и посылать kill процессам по их именам. Отвадил переименованием бинарника. Работало. Правда, это был не VPN, а другое приложение.
Если б мне поставили задачу «забанить любой впн», я бы тупо смотрел на клиентов, у которых 90%+ трафика идёт на единственный адрес и банил бы его не вдаваясь ни в какие детали с ключами, портами, заголовками и сертификатами.