Можно ли настроить OpenVPN (или, точнее, его DHCP) так, чтобы он выбирал IP-адрес для определенной личности (или набора личностей) из уже определенного мной диапазона? А любая другая личность получит свой IP-адрес из другого диапазона.

Или даже предотвратить любую сетевую связь для этой личности, если пользователь, использующий эту личность, вручную вводит IP-адрес за пределами разрешенного диапазона?

Идентификатором может быть пользователь, аутентифицированный с помощью сертификата или имени пользователя/пароля.

Целью этого является возможность установки некоторых правил IPTables, которые запрещают некоторым пользователям доступ к определенным ресурсам (используя IP-адреса этих пользователей).

Обновлять:

В качестве отправной точки я нашел следующее в шаблоне server.conf:

# Suppose that you want to enable different
# firewall access policies for different groups
# of clients.  There are two methods:
# (1) Run multiple OpenVPN daemons, one for each
#     group, and firewall the TUN/TAP interface
#     for each group/daemon appropriately.
# (2) (Advanced) Create a script to dynamically
#     modify the firewall in response to access
#     from different clients.  See man
#     page for more info on learn-address script.
;learn-address ./script