问题[tap](server)

我在 FreeBSD 10.3 服务器上设置了 OpenVPN + PF 设置。

我的 VPN 的客户端包括管理员，他们应该可以完全访问网络，而不受信任的用户应该只能访问几个 IP 地址。

我使用 client-config-dir 为特定用户设置一个唯一的 IP 地址，稍后我会使用 PF 阻止或传递该地址。

问题在于，由于 OpenVPN 是使用 Tap 设备设置的，因此任何连接的客户端都可以手动将其 IP 地址更改为受信任的 IP 并覆盖此限制。

即：我将一台机器连接到VPN，该VPN根据其不受信任的ccd获取IP地址10.0.1.11。但是，如果客户端将他的 IP（使用 ifconfig）更改为受信任的 10.0.1.15，他的限制就会被覆盖。

有没有办法强制客户端只能使用某个 IP 地址而不使用 TUN 设备？

如果没有，是否有任何方法可以在不使用 VPN 客户端 IP 地址或运行单独的 VPN 的情况下过滤网络访问？

谢谢你的帮助

我正在建立一个 dynamips/dynagen 实验室，我想知道是否有任何方法可以让流量路由出一个 tap 设备，进入实验室，然后回到同一台机器上的 tap 设备。我已经尝试过主机特定的路由以及删除通过 ifconfig 为 tun 设备提供 ip 时创建的路由。有了这两个，流量总是更喜欢连接的设备，不会通过我的实验室。

有什么方法可以在没有单独的机器或虚拟机的情况下完成这项工作？