大家好，
小弟公司最近有建置WIFI打卡系統，
目前網路架構是DRAYTEK 2925AC路由器後面接WS 2012R2(LAN SERVER)跟各個Client，
但是卡到老闆不想開放WIFI連入，
又目前網路是浮動IP，
請問是不是只能升級固定制(目前是浮動300/100)，
再透過路由器設定NAT連入LAN SERVER打卡？
另外固定制IP可以指派給LAN SERVER嗎？
就是可用固定IP連WAN，但是跟其他Client還是在同一個LAN裡面，
因為目前用NAT連入的方式速度有點慢...這樣就不用透過轉址連線，
打卡APP可以直接設定LAN SERVER的WAN IP
或是需要改變網路連接方式呢，
再請指教！！

DDNS (??

完全忘了還有這個 還好有上來問...

老實講我看不懂你的需求面是甚麼如果不希望員工透過公司WIFI去打卡，那代表就是走有線但你又說透過WAN方式連到內部打卡系統如果用公司WIFI 老闆都不同意，又怎麼會同意開放WAN打卡你應該確定 真的要把打卡系統對外開放?

其實就是老闆同意用WAN連入但不同意用WIFI連入至於為什麼只有老闆知道了

不要讓WiFi進內網是很合理的要求，一方面你不知道會不會有有心人士在公司附近偷偷利用WiFi進你的內網，一方面也要防止員工自己的有病毒筆電透過WiFI感染內網。你的需求一般就是把這個網站架在DMZ。

OK我試試看DMZ怎麼架

wifi有wifi的玩法，簡單的做法有AD就設備+使用者驗證有過才能連內網，只有使用者驗證過只能連外網，這比你老闆那外網可以連wifi不能連好多了

痾，確定要把打卡系統丟在DMZ?老實講企業做法會像上面那樣去做多因素驗證如果WIFI都可以進內網了，把打卡系統丟在WAN就會比較好?而且WIFI明明更可以管控設備及IP，比WAN來源端更好掌控更別說還有log紀錄去反查當然老闆最大，不過打卡系統若是有被攻擊或漏洞老闆可不管你管理人員的理由!尤其是人事系統的資料被竊取

個人覺得開NAT風險比WIFI高太多了 網路一堆掃Port仔最近才跑兩家公司 就有一家被打進去裝跳板而且你是開NAT給AD 真這樣幹很刺激喔XD

2925ac支援四個SSID 可分配不同 VLAN，如果是安全考量就把打卡系統自己分一個 VLAN 就安全很多，絕對比開 WAN 還安全