Thank you both, Phil and Hoercher,<br>what I did is what you suggested, using FreeRADIUS attributes to distinguish each access point and I used<br>the CalledStationId in particular, which is the MAC address of each AP - this is as unique as it gets.
<br><br>Thanks alot.<br><br><br><div><span class="gmail_quote">On 11/19/06, <b class="gmail_sendername">K. Hoercher</b> <<a href="mailto:wbhoer@gmail.com">wbhoer@gmail.com</a>> wrote:</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
On 11/19/06, liran tal <<a href="mailto:liransgarage@gmail.com">liransgarage@gmail.com</a>> wrote:<br>> I'll try to elaborate on this...<br>> There are two access points deployed in two different locations, they both
<br>> speak to a central radius sever,<br>> it looks like this:<br>><br>> AP1 - DHCP Address Pool <a href="http://172.19.1.0/24">172.19.1.0/24</a><br>> AP2 - DHCP Address Pool <a href="http://172.19.2.0/24">
172.19.2.0/24</a><br><br>ah ok. (nitpick: so the subnet mask /24 is not different, the subnets are *g*)<br><br>> Now, say user foo got connected to AP1, in the logs I will see he received<br>> FramedIPAddress <a href="http://172.19.1.250">
172.19.1.250</a><br>> so I will know for a fact that the user is conneccting from AP1 rather than<br>> AP2.<br><br>Which log? Again, as the issueing of dhcp leases would happen after<br>the associating/authenticating of the user's machine I would not
<br>expect Framed-IP-Address  to be tranmitted in an Access-Request from<br>an ap to be acted on by freeradius. Actually the other way round would<br>be more common, freeradius sending that attribute to the ap. Maybe it<br>
could be part of an accounting message sent by the ap, but that would<br>also be to late to base authentication decisions on in any sane way.<br><br>If you happen to have such setup nevertheless, could you show the<br>freeradius debug output?
<br><br>> So I'm asking if there's a better way to do this rather than by configuring<br>> different subnets on the dhcp server of the APs.<br>> A NASIPAddress is actually a good solution but I'm not going with that cause
<br>> I can't be sure that it's a static one (some APs<br>> receive their "wan" interface address by DHCP which may vary all the time).<br><br>Not freeradius related: Does every AP use/have its own dhcpd for the
<br>users? If so, they should ensure that no confliciting leases get out<br>by means of relaying to a central server, coordinating between<br>themselves, assigning different ranges of ips or just keeping the<br>leases on different subnets (the last beeing not the best approach, I
<br>think, and would also not be needed for freeradius as I tried to<br>explain already and will do, hopefully more completely, below).<br><br>Ok, so the mentioned combinations would include NAS-IP-Address to be<br>not part of them. I was talking in general about possible already
<br>existing choices you could watch out for.<br><br>To do that even more: As to your wish to "distinct", what are your<br>needs related to that distinction:<br>authentication/authorization/accounting? As long as your aps send
<br>anything as part of the radius protocol, which is specific to them<br>(which is quite probable) and known a priori (which might rule out<br>NAS-IP-Address, (but why not dhcping fixed addresses, or at least<br>different ranges to them? etc. as completely dynamic ips for aps look
<br>a bit awkward to me, not only for the problem at hand))  in the<br>different messages to freeradius, that entitiy can be used (where/how<br>depends on the purpose) to decide between different alternatives.<br><br>> So any other ideas...
<br><br>Not really, I would still uphold my statement previously made. To<br>perhaps clarify it a bit: Yes, of course you can configure freeradius<br>to act differently on different inputs. Any more specific suggestions<br>
could only arise from you telling what the aps do (other than putting<br>users on different subnets, which is possible too, but not desireable<br>I think) ; more to the point: what (which attributes) do they send in<br>which situations, and what reaction you want in those situations.
<br><br>regards<br>K. Hoercher<br>-<br>List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html">http://www.freeradius.org/list/users.html</a><br></blockquote></div><br>