Чисто в теории через iptables можно попробовать разрулить.
Написать скрипт, который при подключении/отключении клиента (параметры client-connect и client-disconnect) будет добавлять метку к пакетам с этого ip (iptables -t mangle -A INPUT -s ${IP} -j MARK --set-mark 0x???). Метка в зависимости от $common_name. Соответственно iptables изначально настроить авторизацию доступа до ресурсов через метки (iptables -t filter -A FORWARD -i tun0 -m mark --mark 0x??? -d ip_ресурса -j ACCEPT) и в принципе можно убирать статическую привязку клиентов по ip. При дисконнекте удалять правила.