To tylko sugestia:
A jakby zamiast pobierać ip, a dawać id każdemu użytkownikowi w plikach cookie?
Użytkownik wtedy ma na przykład Id: 1 i gdy wchodzi kolejny również mu się nadaje id, ale tym razem się zwiększa o 1, czyli nowy ma 2.
Po tym sprawdzasz czy id jest równe 1, jeśli tak wpuszczas, jeśli nie, wywalasz.
Co sądzisz o takim rozwiązaniu?