大家好,
小弟公司最近有建置WIFI打卡系統,
目前網路架構是DRAYTEK 2925AC路由器後面接WS 2012R2(LAN SERVER)跟各個Client,
但是卡到老闆不想開放WIFI連入,
又目前網路是浮動IP,
請問是不是只能升級固定制(目前是浮動300/100),
再透過路由器設定NAT連入LAN SERVER打卡?
另外固定制IP可以指派給LAN SERVER嗎?
就是可用固定IP連WAN,但是跟其他Client還是在同一個LAN裡面,
因為目前用NAT連入的方式速度有點慢...這樣就不用透過轉址連線,
打卡APP可以直接設定LAN SERVER的WAN IP
或是需要改變網路連接方式呢,
再請指教!!
作者:
shuinedu (成長只有一次)
2021-04-12 17:47:00DDNS (??
作者: fonzae (fonzae) 2021-04-13 00:59:00
老實講我看不懂你的需求面是甚麼如果不希望員工透過公司WIFI去打卡,那代表就是走有線但你又說透過WAN方式連到內部打卡系統如果用公司WIFI 老闆都不同意,又怎麼會同意開放WAN打卡你應該確定 真的要把打卡系統對外開放?
其實就是老闆同意用WAN連入但不同意用WIFI連入至於為什麼只有老闆知道了
不要讓WiFi進內網是很合理的要求,一方面你不知道會不會有有心人士在公司附近偷偷利用WiFi進你的內網,一方面也要防止員工自己的有病毒筆電透過WiFI感染內網。你的需求一般就是把這個網站架在DMZ。
作者:
b325019 (望月)
2021-04-14 01:31:00wifi有wifi的玩法,簡單的做法有AD就設備+使用者驗證有過才能連內網,只有使用者驗證過只能連外網,這比你老闆那外網可以連wifi不能連好多了
作者: fonzae (fonzae) 2021-04-14 21:23:00
痾,確定要把打卡系統丟在DMZ?老實講企業做法會像上面那樣去做多因素驗證如果WIFI都可以進內網了,把打卡系統丟在WAN就會比較好?而且WIFI明明更可以管控設備及IP,比WAN來源端更好掌控更別說還有log紀錄去反查當然老闆最大,不過打卡系統若是有被攻擊或漏洞老闆可不管你管理人員的理由!尤其是人事系統的資料被竊取
個人覺得開NAT風險比WIFI高太多了 網路一堆掃Port仔最近才跑兩家公司 就有一家被打進去裝跳板而且你是開NAT給AD 真這樣幹很刺激喔XD
作者: battleshit (beaman) 2021-04-17 21:04:00
2925ac支援四個SSID 可分配不同 VLAN,如果是安全考量就把打卡系統自己分一個 VLAN 就安全很多,絕對比開 WAN 還安全