大家好，
小弟公司最近有建置WIFI打卡系统，
目前网络架构是DRAYTEK 2925AC路由器后面接WS 2012R2(LAN SERVER)跟各个Client，
但是卡到老板不想开放WIFI连入，
又目前网络是浮动IP，
请问是不是只能升级固定制(目前是浮动300/100)，
再透过路由器设定NAT连入LAN SERVER打卡？
另外固定制IP可以指派给LAN SERVER吗？
就是可用固定IP连WAN，但是跟其他Client还是在同一个LAN里面，
因为目前用NAT连入的方式速度有点慢...这样就不用透过转址连线，
打卡APP可以直接设定LAN SERVER的WAN IP
或是需要改变网络连接方式呢，
再请指教！！

DDNS (??

完全忘了还有这个 还好有上来问...

老实讲我看不懂你的需求面是什么如果不希望员工透过公司WIFI去打卡，那代表就是走有线但你又说透过WAN方式连到内部打卡系统如果用公司WIFI 老板都不同意，又怎么会同意开放WAN打卡你应该确定 真的要把打卡系统对外开放?

其实就是老板同意用WAN连入但不同意用WIFI连入至于为什么只有老板知道了

不要让WiFi进内网是很合理的要求，一方面你不知道会不会有有心人士在公司附近偷偷利用WiFi进你的内网，一方面也要防止员工自己的有病毒笔电透过WiFI感染内网。你的需求一般就是把这个网站架在DMZ。

OK我试试看DMZ怎么架

wifi有wifi的玩法，简单的做法有AD就设备+使用者验证有过才能连内网，只有使用者验证过只能连外网，这比你老板那外网可以连wifi不能连好多了

疴，确定要把打卡系统丢在DMZ?老实讲企业做法会像上面那样去做多因素验证如果WIFI都可以进内网了，把打卡系统丢在WAN就会比较好?而且WIFI明明更可以管控设备及IP，比WAN来源端更好掌控更别说还有log纪录去反查当然老板最大，不过打卡系统若是有被攻击或漏洞老板可不管你管理人员的理由!尤其是人事系统的资料被窃取

个人觉得开NAT风险比WIFI高太多了 网络一堆扫Port仔最近才跑两家公司 就有一家被打进去装跳板而且你是开NAT给AD 真这样干很刺激喔XD

2925ac支援四个SSID 可分配不同 VLAN，如果是安全考量就把打卡系统自己分一个 VLAN 就安全很多，绝对比开 WAN 还安全