naja das statische zuweisen einer IP mittels DHCP und dieser IP dann etwas zu erlauben oder zu verbieten, bietet in etwa die gleiche Sicherheit wie eine verschlossene Tür an der der Schlüssel steckt. Der Client kann sich ja einfach manuell eine andere IP geben um das zu umgehen. Wenn du diese Art Sicherheit dringend benötigst könntest du alternativ auch auf Switchebene 802.1x in verbindung mit Freeradius nutzen.
Wie testest du denn ob OpenVPN IN das LAN läuft wenn du selbst IM LAN sitzt? Das macht doch gar keinen Sinn!?