Innanzitutto abilitare il log all’interno del file di configurazione del server con i comandi:

log /var/log/openvpn/openvpn.log
verb 3

Creare il il file di configurazione del filtro:

/etc/fail2ban/filter.d/openvpn.conf

e scriverci:

[INCLUDES]
before = common.conf

[Definition]
failregex = ^ TLS Error: incoming packet authentication failed from [AF_INET]:\d+$
^ :\d+ Connection reset, restarting
^ :\d+ TLS Auth Error
^ :\d+ TLS Error: TLS handshake failed$
^ :\d+ VERIFY ERROR


Verificare le regular expressions con il proprio log:

fail2ban-regex -v /var/log/openvpn/openvpn.log /etc/fail2ban/filter.d/openvpn.conf

Creare il file di configurazione della jail:
/etc/fail2ban/jail.d/openvpn.conf

e scriverci

[openvpn]
enabled = true
port = 11194
protocol = udp
filter = openvpn
logpath = /var/log/openvpn/openvpn.log
maxretry = 3

ovviamente modificare i parametri come necessario

eseguire il restart del servizio fail2ban

systemctl restart fail2ban.service