Ist es möglich, OpenVPN (oder genauer gesagt dessen DHCP) so zu konfigurieren, dass die IP für eine bestimmte Identität (oder einen Satz von Identitäten) aus einem Bereich ausgewählt wird, den ich bereits definiert habe? Und jede andere Identität erhält ihre IP aus einem anderen Bereich.

Oder sogar um jegliche Netzwerkkommunikation für diese Identität zu verhindern, wenn der Benutzer diese Identität verwendet und die IP-Adresse manuell außerhalb des zulässigen Bereichs eingibt?

Eine Identität kann ein durch ein Zertifikat oder durch Benutzername/Passwort authentifizierter Benutzer sein.

Ziel ist es, einige IPTables-Regeln festlegen zu können, die einige Benutzer daran hindern, auf bestimmte Ressourcen zuzugreifen (unter Verwendung der IP dieser Benutzer).

Aktualisieren:

Als Ausgangspunkt habe ich Folgendes in der server.conf-Vorlage gefunden:

# Suppose that you want to enable different
# firewall access policies for different groups
# of clients.  There are two methods:
# (1) Run multiple OpenVPN daemons, one for each
#     group, and firewall the TUN/TAP interface
#     for each group/daemon appropriately.
# (2) (Advanced) Create a script to dynamically
#     modify the firewall in response to access
#     from different clients.  See man
#     page for more info on learn-address script.
;learn-address ./script