是否可以配置 OpenVPN（或更准确地说是其 DHCP）从我已经定义的范围中为特定身份（或身份集）选择 IP？任何其他身份都将从另一个范围获取其 IP。

或者，如果用户使用该身份手动输入超出允许范围的 IP 地址，是否甚至可以阻止该身份进行任何网络通信？

身份可以是通过证书或用户名/密码进行身份验证的用户。

这样做的目的是能够设置一些 IPTables 规则，阻止某些用户访问特定资源（使用这些用户的 IP）。

更新：

作为起点，我在 server.conf 模板中发现以下内容：

# Suppose that you want to enable different
# firewall access policies for different groups
# of clients.  There are two methods:
# (1) Run multiple OpenVPN daemons, one for each
#     group, and firewall the TUN/TAP interface
#     for each group/daemon appropriately.
# (2) (Advanced) Create a script to dynamically
#     modify the firewall in response to access
#     from different clients.  See man
#     page for more info on learn-address script.
;learn-address ./script