Korrekte IP-Zuordnung: Captive Portal und Freeradius2

hsrtreml

Hallo, irgendwie macht jeder die IP-Zuordnung zwischen Captive Portal (CP) und FreeRadius2 (FR) nach belieben?
Ausgangssituation und Fragen:

LAN-IP: 100.1, 100.0/24  (Privat)

CP1-IP: 11.0/24 (Gast1)
CP2-IP: 12.0/24 (Gast2)
auf beiden CP soll FR verwendet werden

FR Interface-IP auth 1812, Welche IP: LAN IF-IP, irgendeine LAN-IP? (FR-IF-IP-1812)
FR Interface-IP aucc 1813, Welche IP: LAN IF-IP, irgendeine LAN-IP? (FR-IF-IP-1813)

FR NAS Client: Welche IP: LAN IF-IP, irgendeine LAN-IP? oder je eine CPx-IP zu Authentifizierung? (FR-NAS-IP)

CP2 als Beispiel: Primäry FR: FR-IF-IP-1812
CP2 als Beispiel: Accounting: Send radius to Primäry FR

CP2: Radius NAS IP Attribute: FR-NAS-IP

Relativ einfach, oder?

Lösung:
–-------
im FR ist FR-IF-IP-1812: ?
im FR ist FR-IF-IP-1813: ?
im FR ist FR-NAS-IP: ?
im CP1 ist Primary FR: ?
im CP1 ist Radius NAS IP: ?

zurzeit habe ich:
im FR ist FR-IF-IP-1812: *
im FR ist FR-IF-IP-1813: *
im FR-NAS-IP: LAN-IP
im CP1 ist Primary FR: LAN-IP
im CP1 ist Radius NAS IP: LAN-IP

weitere Varianten:
im FR ist FR-IF-IP-1812: C1-IP
im FR ist FR-IF-IP-1813: C1-IP
im FR ist FR-NAS-IP: C1-IP
im CP1 ist Primary FR: C1-IP
im CP1 ist Radius NAS IP: C1-IP

und gleichzeitig

im FR ist FR-IF-IP-1812: C2-IP
im FR ist FR-IF-IP-1813: C2-IP
im FR ist FR-NAS-IP: C2-IP
im CP2 ist Primary FR: C2-IP
im CP2 ist Radius NAS IP: C2-IP

…
es geht so, aber ist dies sicher und korrekt und "wie" kann verhindert werden, dass CP1-FR-User sich nicht am CP2 anmelden können?