¿Es posible configurar OpenVPN (o su DHCP más exactamente) para elegir la IP para una identidad específica (o conjunto de identidades) de un rango que ya definí? y cualquier otra identidad obtendrá su IP de otro rango.

¿O incluso para evitar cualquier comunicación de red para esa identidad, si el usuario usa esa identidad ingresa la dirección IP manualmente fuera del rango permitido?

Una identidad puede ser un usuario autenticado mediante Certificado o mediante Nombre de Usuario/Contraseña.

El objetivo de esto es poder establecer algunas reglas de IPTables que impidan que algunos usuarios accedan a recursos específicos (usando la IP de esos usuarios).

Actualizar:

Como punto de partida encontré lo siguiente en la plantilla server.conf:

# Suppose that you want to enable different
# firewall access policies for different groups
# of clients.  There are two methods:
# (1) Run multiple OpenVPN daemons, one for each
#     group, and firewall the TUN/TAP interface
#     for each group/daemon appropriately.
# (2) (Advanced) Create a script to dynamically
#     modify the firewall in response to access
#     from different clients.  See man
#     page for more info on learn-address script.
;learn-address ./script