Режим роутера и точка доступа: какой режим выбрать на TP-Link Deco?

Главная мысль: Выбор между «Роутер» и «Точка доступа» определяет, кто раздаёт IP-адреса: Deco или основной модем/шлюз, а значит — влияет на безопасность, скорость и работу VPN.

Mesh-система TP-Link Deco способна работать в двух ключевых режимах. Разберём, как именно они распределяют функции DHCP, NAT, брандмауэра и почему иногда полезно оставить все задачи провайдерскому устройству, а иногда — передать их самому Deco.

Как работает режим «Роутер»

Внимание: В этом режиме Deco берёт на себя полный контроль: создаёт подсеть 192.168.68.0/24, выполняет NAT и фильтрует трафик через SPI-файрвол.

После подключения кабеля WAN модуль запрашивает IP у провайдера, запускает собственный DHCP-сервер и распределяет адреса всем клиентам. Встроенный ALG упрощает проброс портов для игр и камер, UpnP включён по умолчанию.

Плюсы режима «Роутер»

Важно: Вы получаете централизованный контроль, единое место для родительского фильтра и QoS, а также встроенный HomeShield.

• Полная статистика трафика в приложении.

• Простая настройка IPSec/L2TP-VPN без доступа к оборудованию провайдера.

• Возможность сегментировать сеть: гостевая VLAN отделена от основной.

Минусы режима «Роутер»

Совет: Двойной NAT неизбежен, если шлюз провайдера тоже работает как роутер; это ломает IP-телефонию, Xbox Live и удалённые камеры.

Ошибки NAT-Type 3, PPTP-VPN не устанавливается, Xbox показывает «Strict», а сервер Minecraft недоступен извне. Решается либо переводом ONT в Bridge, либо переключением Deco в точку доступа.

Как работает режим «Точка доступа»

Пример: В AP-режиме Deco превращается в «прозрачный» Mesh-коммутатор: NAT отключён, DHCP отдаёт сам провайдер, а IP-адрес главного модуля виден в той же подсети, что и компьютеры.

Все сетевые функции остаются на маршрутизаторе оператора или корпоративном фаерволе. Deco транслирует один SSID на 2,4 и 5 ГГц, поддерживает бесшовный роуминг 802.11k/r/v, но не вмешивается в маршрутизацию.

Плюсы режима «Точка доступа»

Главная мысль: Отсутствие двойного NAT гарантирует корректную работу всех сервисов, а IP-адресация остаётся единой для Wi-Fi и проводных устройств.

• Консоли, камеры и VOIP получают открытый NAT-Type 2.

• Централизованная авторизация в корпоративных сетях (Radius/DHCP-Option 82).

• Минимальные накладные расходы CPU: больше пропускная способность на Wi-Fi.

Минусы режима «Точка доступа»

Внимание: Вы теряете родительский контроль, HomeShield, брандмауэр и подробные отчёты о трафике, потому что эти функции зависят от NAT.

Также нельзя создавать отдельную VLAN для гостей: гостевая сеть остаётся в той же подсети, что и домашняя, если это не поддерживает маршрутизатор провайдера.

Как выбрать режим: типичные сценарии

Рекомендация: Сравните ситуацию у себя дома или в офисе с примерами ниже — если совпадает хотя бы по двум пунктам, смело выбирайте предложенный режим.

Подготовка перед переключением

Важно: Сохраните текущую конфигурацию: в приложении Deco откройте More → Backup & Restore и нажмите «Backup now» — на случай, если придётся откатиться.

1. Убедитесь, что все модули онлайн и показывают мягкий голубой «breathing».
2. Подключите ноутбук к LAN-порту главного Deco на всякий случай, чтобы не потерять доступ к веб-панели при переключении.
3. Запишите статический IP адрес, который выдаёт провайдерский роутер (при переходе в AP-режим он пригодится, чтобы найти Deco в сети).

Пошаговое переключение режима в приложении

Пример: Перевод Deco из Router в Access Point занимает не более 3 минут; светодиод переливается жёлтым → зелёным → голубым, после чего Wi-Fi вновь доступен.

1. More → Advanced → Operation Mode.
2. Выберите нужный режим и подтвердите.
3. Приложение предложит задать IPv4:
   DHCP — если основной роутер раздаёт адреса;
   Static — если нужен фиксированный IP (введите из того же диапазона, например 192.168.1.10).
4. Нажмите Save. Все модули перезагрузятся; экран смартфона покажет счётчик 0-100 %.
5. Через 1–2 минуты Wi-Fi появится с прежним SSID и паролем, клиенты подключатся автоматически.

Частые проблемы после смены режима и их решения

Внимание: Если интернет «есть по кабелю, но нет по Wi-Fi», почти всегда виноват DNS — основной роутер не отдал адрес сервера, а устройства ушли в офлайн.

Как вернуть родительский контроль в AP-режиме

Совет: Установите бесплатный Pi-hole или AdGuard Home на отдельный Raspberry Pi — задайте его IP как DNS в DHCP-сервере провайдера, и получите фильтрацию рекламы и статистику без двойного NAT.

Шаги: настроить Pi-hole → включить DHCP-Option 3 (Router) указывающий основной шлюз → внести IP Pi-hole в поле DNS → сохранить и перезагрузить клиентов. Deco останется в AP-режиме, но контроль трафика вернётся.

Продвинутые гибридные сценарии

Главная мысль: Сочетайте оба режима, когда одна часть сети требует строгой сегментации, а другая — «чистого» NAT.

• Внешний ONT → порт LAN1 в Bridge — кабель идёт в WAN Deco (Router-Mode, гостям отдельная VLAN).
• Тот же ONT → LAN2 — кабель в офисный свитч, где крутятся серверы с «белыми» IP (без NAT).
  
  Так вы получаете и безопасный Wi-Fi-периметр, и прямой доступ к публичным службам.

Вывод

Выбирая между режимами, помните: Router-Mode = контроль и функции, Access Point = простота и совместимость. Оцените инфраструктуру, сделайте резервную копию, следуйте пошаговому переключению, и ваша Mesh-сеть Deco будет работать стабильно независимо от сценария подключения.