Benutzern muss eine feste VPN-IP oder feste DHCP-IP gegeben werden, und dann legt man diese IP als Netzwerk-Objekte an und nutzt sie in den Regeln - anders geht es nicht.

IP-Filter sind keine Dienste, daher ist keine Authentifizierung möglich. Es wäre sonst eventuell sinnvoller, auf einem Switch entsprechende Netzwerk-Authentifizierung mit RADIUS zu implementieren.

Schön wäre, wenn man Benutzer anhand einer MAC-Adresse identifizieren und in den Regeln hinterlegen könnte. Ebenfalls, wenn VPN-Benutzer automatisch als Objekte auftauchen (das gab es früher mal, ich weiß nicht, ob das inzwischen wieder drin ist).