Маршрутизация OpenVPN на основе аутентификации LDAP?

Чтобы лучше понять решение, это пример:

• В компании 1000 пользователей, которые постоянно меняют рабочие места (компьютеры настроены на DHCP IP, поэтому пользователь может постоянно менять свой IP-адрес) и команды (группа LDAP).
• Каждая команда (группа LDAP) имеет доступ к определенным VLAN.
• Как написать правила маршрутизации на основе группы ldap пользователя?

Я хочу создать решение VPN, которое будет работать следующим образом:

• VPN будет использоваться только внутри локальной сети. Нет интернета или удаленных серверов ...
• VPN-сервер имеет доступ ко всем частным VLAN и к VLAN пользователя по умолчанию (1).
• Я буду использовать сервер LDAP для аутентификации / авторизации пользователей.
• На основе клиентских групп LDAP сервер VPN разрешит / запретит трафик в частные VLAN.

Поэтому я подумал, что VPN с описанными мною конфигурациями будет работать в этом сценарии. Можно ли создать подобное решение с помощью OpenVPN? Как? Приветствуются новые идеи. Спасибо.