Sophos UTM: Unterscheidung VPN Clients

Den Common Name gibt derzeit meine Sophos vor und der Benutzer wird mit der AD gesynct. Es ist im Prinzip der selbe Benutzer einmal mit Windows-PC und zeitgleich mit Tablet drin, die Config bezieht er über das selbe User Portal. Ich vermute mal ich kann den Common Name in der Config anpassen, das müsste dann aber händisch am Gerät ablaufen (unter iOS wird das vermutlich gar nicht so einfach gehen, da muss ich dann eine vorher präparierte Config verschicken).

Ich hatte eigentlich die Hoffnung es mit Vendor-spezifischen DHCP-Ranges lösen zu können. Also angenommen ein Gerät kommt mit einer MAC a la aa:bb:cc:xx:xx:xx daher und wird als Apple-Gerät erkannt. Dann vergibt der DHCP eine IP aus einem eigenen Adress-Pool für Apple Geräte und den verwende ich in der Firewall (nicht schlimm wenn es manuell umgangen werden kann). Allerdings sehe ich noch mehrere Probleme:
1) Scheinbar hat Apple sehr sehr viele "OUI"s, also verschiedene MAC-Adressblöcke.
2) Man kann im DHCP MAC-spezifisch "Options" mit geben (habe ich noch nicht zum laufen gebracht), kann man überhaupt unterschiedliche IP-Ranges auf dem selben Interface abhängig von der MAC spezifizieren?
3) Die "normale" DHCP-Konfiguration stellt sich bei Sophos ganz anders dar als der "Adress-Pool" für SSL VPN, Kann ich für VPN überhaupt die selben Möglichkeiten nutzen? (Konsole?)
4) Ich hab doch eigentlich gar keine Ahnung

Leider nutzen alle Clients das selbe Zertifikat, der Common Name wird bei Sophos abhängig vom User gesetzt.
Das ist auf jeden Fall hilfreich, danke. Ich war mir nicht sicher ob das mit DHCP gemacht wird denn die Sophos definiert hier einen IPv4 Adresspool und der Client bezieht die Adressen automatisch.

Ich würde sagen immer noch denkbar aber viel zu aufwendig umzusetzen, nur um verschiedene Firewall-Regeln auf externe Geräte anzuwenden. Ich habe die Firewall für alle Geräte bereits auf die nötigen Protokolle eingeschränkt und werde die Regeln einfach weiter zerlegen je nach Zielsystem.