Hier eine Anleitung, die die Schritte ziemlich gut beschreibt: https://medium.com/server-guides/how-to-setup-an-openvpn-server-on-a-unifi-usg-e33ea2f6725d
Lediglich beim Konfigurieren der Client-OVPN-Files gibt es anzumerken, dass die Zertifikate in HTML-Tags gefasst gehören, sprich für das CA-Zertifikat, für das client-crt und für den client-key.
Wer nicht will, dass der gesamte Traffic über das VPN geleitet wird (zB nur für Wartungsarbeiten), der muss aus dem JSON die Zeile mit der Option „redirect-gateway def1“ löschen. Auch die IP-Adressen müssen angepasst werden an das zu wartende Netzwerk: „push-route“ und „nameserver“ sollen die IPs des zu wartenden Netzwerks sein.
Vergesst nicht, das JSON vorher durch einen Validator zu jagen, ansonsten kann es böse enden und das USG steckt in der „provisioning-loop“ mit anschließendem Neustart fest.
Falls ihr wie in diesem Artikel (https://blog.e9a.at/konfigurieren-von-ddns-mit-eigenem-provider-auf-dem-usg/) gezeigt die „config.gateway.json“ mit diesem Inhalt bereits habt, könnt ihr euch den Punkt „service“ von OpenVPN komplett sparen.
Links und Credit
https://medium.com/server-guides/how-to-setup-an-openvpn-server-on-a-unifi-usg-e33ea2f6725d