É possível configurar o OpenVPN (ou seu DHCP mais precisamente) para escolher o IP para uma identidade específica (ou conjunto de identidades) de um intervalo que já defini? e qualquer outra identidade obterá seu IP de outro intervalo.

Ou até mesmo para impedir qualquer comunicação de rede para aquela identidade, caso o usuário que utiliza essa identidade insira o endereço IP manualmente fora da faixa permitida?

Uma identidade pode ser um usuário autenticado por Certificado ou por Nome de Usuário/Senha.

O objetivo disso é poder definir algumas regras de IPTables que impeçam alguns usuários de acessar recursos específicos (usando o IP desses usuários).

Atualizar:

Como ponto de partida, encontrei o seguinte no modelo server.conf:

# Suppose that you want to enable different
# firewall access policies for different groups
# of clients.  There are two methods:
# (1) Run multiple OpenVPN daemons, one for each
#     group, and firewall the TUN/TAP interface
#     for each group/daemon appropriately.
# (2) (Advanced) Create a script to dynamically
#     modify the firewall in response to access
#     from different clients.  See man
#     page for more info on learn-address script.
;learn-address ./script