Как настроить приватный VPN на Deco без сторонних сервисов

Главная мысль: приватный VPN на TP-Link Deco реально поднять без «арендованных» провайдеров: либо включаем встроенный VPN-сервер (WireGuard/OpenVPN) прямо в Deco, либо поднимаем свой сервер (на Raspberry Pi/NAS/ПК) внутри сети и делаем проброс порта на Deco. Важные условия успеха: белый внешний IP или работающий DDNS, правильно выбранный протокол, продуманная схема роутинга (full-tunnel vs split-tunnel), и аккуратность с NAT/двойным NAT. Ниже — пошаговый план под обе схемы и разбор тонкостей «на русском языке».

Что значит «без сторонних сервисов» и что потребуется

Под «без сторонних сервисов» будем понимать: никаких коммерческих VPN-провайдеров, relay-туннелей и «облачных» прокси. Мы используем ваш домашний Deco как конечную точку VPN (сервер), а подключаемся к нему вашими же клиентами (смартфон/ноутбук).

Понадобится:

• Deco в режиме Router с последней прошивкой (или AP-режим + проброс у вышестоящего роутера).
• Белый внешний IP (динамический/статический) или рабочий DDNS (в Deco есть собственный TP-Link DDNS). При CG-NAT у оператора входящие порты снаружи не откроются — придётся заказывать белый IP.
• Базовое понимание: порт/протокол, AllowedIPs/маршруты, правила брандмауэра.

Итог: цель — чтобы ваш телефон/ноут «видел» домашнюю сеть (NAS, камеры, принтеры, умный дом) и/или выходил в интернет «через дом» по зашифрованному каналу.

Проверяем возможности вашего Deco

В приложении Deco → Ещё (More) → Advanced/Дополнительно → VPN посмотрите, что поддерживается вашей моделью/прошивкой:

• VPN Server: WireGuard (современный, быстрый, конфиг через QR/файлы).
• VPN Server: OpenVPN (классика, шире совместимость, ниже скорость).
• VPN Client (не наша задача сейчас).

Если пункта VPN Server нет — используем вариант B (внешний сервер в локалке + Port Forwarding на Deco).

Вариант 1. Встроенный WireGuard-сервер на Deco (предпочтительно)

Почему WireGuard: минимальная нагрузка на CPU, отличные скорости, предельно простая схема ключей и маршрутов. Это лучший выбор для удалённого доступа к дому и даже для «интернет через дом».

1. Подготовка WAN/имени

1. Белый IP или DDNS. Если IP «серый» (10.x/100.64.x/172.16-31/192.168.x) — это CG-NAT, запросите у провайдера белый. В Deco включите TP-Link DDNS (удобно: имя вида имя.tplinkdns.com).
2. Решите, что хотите: доступ только к локалке или полный трафик через дом. Это будет в AllowedIPs.

2. Создаём сервер и пиров (клиентов)

1. Deco → VPN → WireGuard Server → Enable.
2. Укажите порт UDP (по умолчанию 51820 — можно оставить).
3. Создайте клиента (Peer) для каждого устройства: «Телефон», «Ноутбук».
   Deco сгенерирует ключи и раздел AllowedIPs для каждого клиента.
   Для «локалки-только» поставьте AllowedIPs клиента = 192.168.0.0/16 (или точную вашу подсеть, например 192.168.1.0/24) и, при наличии, IPv6 префикс.
   Для «интернет через дом» — AllowedIPs клиента = 0.0.0.0/0 (и ::/0 при IPv6).
4. DNS для клиента. Задайте локальный DNS (IP самого Deco, например 192.168.1.1) — тогда имена домашних устройств будут резолвиться корректно.

3. Экспорт и подключение

• Экспортируйте QR-код/конфиг для каждого клиента (в приложении есть кнопка Share/Export).
• На Android/iOS/Windows/macOS установите приложение WireGuard, добавьте туннель из QR/файла, включите.

4. Если Deco за другим роутером (двойной NAT)

• На вышестоящем роутере пробросьте UDP-порт 51820 на WAN-IP Deco.
• Либо поставьте Deco в DMZ на верхнем роутере.
• Если Deco в AP Mode — сервер тогда логичнее поднимать на «верхнем» роутере или на отдельном хосте (см. Вариант B).

5. Проверки

• Снаружи (мобильная сеть) включите туннель, пингуйте локальные IP (NAS/принтер).
• При Full-tunnel откройте «what is my IP» — должен показываться ваш домашний IP/DDNS.

Плюсы WireGuard: высокая скорость даже на слабых CPU, простая диагностика (Handshake/Latest), удобный QR.
Минусы: редкие корпоративные сети режут UDP/51820 — тогда меняем порт на 53/5353/443 (UDP) или используем OpenVPN (TCP).

Вариант 1*. Встроенный OpenVPN-сервер на Deco (когда WG недоступен)

Зачем OpenVPN: максимальная совместимость (вплоть до Smart-TV/роутеров), возможность TCP-туннеля через 443 (проходит даже через «злые» сети).

1. Настройка сервера

1. Deco → VPN → OpenVPN Server → Enable.
2. UDP 1194 по умолчанию (быстрее). Если нужна проходимость — TCP 443.
3. Шифрование — AES-256-GCM, отключите компрессию.
4. Разрешите доступ к локальной сети (и/или интернету через дом — зависит от опций «Redirect Gateway»).
5. Сгенерируйте сертификаты/конфиг и скачайте файл .ovpn.

2. Клиенты

• На Windows/macOS — OpenVPN Connect/OpenVPN GUI.
• На Android/iOS — OpenVPN Connect.
• Импортируйте .ovpn, при необходимости пропишите remote your.ddns.name 443 tcp.

Плюсы: проходит там, где UDP запрещён; совместимость широчайшая.

Минусы: заметно медленнее WireGuard, выше нагрузка на Deco.

Вариант 2. Собственный VPN-сервер в локалке + Port Forwarding на Deco

Поднимаем VPN на Raspberry Pi/NAS/домашнем ПК и просто делаем проброс на Deco.

1. Что именно поднять

• WireGuard на Raspberry Pi/NAS/ПК — самый лёгкий и быстрый.
• OpenVPN — если нужна TCP-проходимость/совместимость.

2. Схема шагов

1. Выдайте серверу статический LAN-IP (например, 192.168.1.10).
2. На этом хосте настройте WG/OpenVPN (генерация ключей/сертов, конфиг сервера, AllowedIPs/Routes).
3. В Deco → Port Forwarding:
   UDP 51820 → 192.168.1.10 (WireGuard),
   UDP 1194 или TCP 443 → 192.168.1.10 (OpenVPN).
4. Включите TP-Link DDNS (или используйте белый статический IP).
5. Настройте клиентов, как в вариантах выше — только Remote = ваш DDNS:порт.

Когда это лучше:

• у вашего Deco нет VPN-сервера;
• у вас уже есть NAS, который может «нести» VPN;
• вы хотите «развязать» обновления Deco и вашего сервера.

NAT, двойной NAT и CG-NAT: как не встрять

• Single NAT (Deco напрямую в интернет): всё просто — сервер на самом Deco, проброс не нужен.
• Double NAT (Deco за роутером провайдера/оператора):
  Port Forward на верхнем роутере → WAN-IP Deco;
  или DMZ на Deco;
  или перевести верхний роутер в Bridge (если можно), тогда Deco станет «главным».
• CG-NAT (серый внешний IP): входящие не придут. Решения без «сторонних сервисов» всего два:
  заказать у провайдера белый IP;
  поднять исходящий VPN с дома «на ваш сервер в интернете» — но это уже «не без сторонних ресурсов». Значит — берём белый IP.

Маршрутизация: split-tunnel vs full-tunnel

• Split-tunnel — по VPN идут только домашние подсети (например, 192.168.1.0/24, 192.168.2.0/24), всё остальное — напрямую в интернет.
  WG: AllowedIPs клиента = 192.168.1.0/24.
  OpenVPN: не выставляем «redirect-gateway».
  Плюсы: меньше нагрузка/трафик, выше скорость веба «снаружи».
• Full-tunnel — весь трафик через дом (подмена исходного IP на домашний, защита в публичных Wi-Fi).
  WG: AllowedIPs = 0.0.0.0/0 (и ::/0 для IPv6).
  OpenVPN: включаем «redirect-gateway».
  Плюсы: защита, доступ к контенту «как из дома».
  Минусы: нагрузка на канал дома; если дома интернет «упал» — вы без сети.

Производительность и ожидания

• WireGuard почти всегда быстрее OpenVPN при той же «железке». На бытовых CPU разница ощутима.
• «Узким местом» станет канал дома (uplink): если у вас 30–50 Мбит/с на отдачу — больше по VPN не получите.
• На LTE/5G-гейтвеях задержки выше и CG-NAT часто обязателен: заранее решите вопрос с белым IP/APN.
• Для записи камер/доступа к NAS split-tunnel с маршрутами к нужным подсетям — самый рациональный вариант.

Диагностика и типовые проблемы

Нет соединения/Handshake в WG пустой:

• Порт/протокол у провайдера закрыт? Поменяйте порт (например, UDP 51820 → 5353/53/443).
• Двойной NAT? Сделайте Port Forward/DMZ.
• DDNS не обновился? Подождите/обновите запись.
• Часы на клиенте «уехали»? Выставьте правильное время (WG чувствителен к времени при handshake).

Коннект есть, локалка не пингуется:

• Проверьте AllowedIPs: для локалки должен быть маршрут на подсеть.
• На OpenVPN убедитесь, что сервер «пушит» маршрут 192.168.1.0/24 клиенту.
• Фаервол на хостах (Windows Defender) режет ICMP — попробуйте доступ к сервису (SMB/HTTP).

Есть доступ к локалке, но интернет «через дом» не идёт (full-tunnel):

• В WG/OVPN клиента проверьте, что стоит 0.0.0.0/0.
• На сервере включён NAT (masquerade) для трафика клиентов в интернет. В Deco-сервере это обычно «из коробки», а на «внешнем» WG-сервере (Raspberry Pi) нужно прописать в iptables/nftables.

Периодические обрывы:

• Уменьшите MTU (например, 1420 для WG) на клиенте, если по пути провайдер «режет» крупные пакеты.
• Для мобильной сети установите WG-опцию PersistentKeepalive = 25.

Когда лучше выбрать OpenVPN вместо WireGuard

• Нужен TCP 443 (обход жёстких прокси/фаерволов).
• Есть «железные» клиенты, где WireGuard нельзя поставить (устаревшие устройства, специфичные ОС).
• У вас уже настроена инфраструктура OpenVPN (сертификаты/ACL), и скорость не критична.

Интеграция с умным домом и удалённой работой

• Управляйте локальным Home Assistant/Node-RED/умными камерами из-вне так, будто вы дома (по IP).
• Публикуйте локальные веб-панели (NAS, принтер, Mediaserver) только через VPN, не открывайте 80/443 наружу.
• Для удалённой работы достаточно split-tunnel с маршрутами на нужные хосты, чтобы не гонять весь трафик «через дом».

Безопасная эксплуатация: «гигиена»

• Раз в квартал проверяйте: обновления Deco, актуальность DDNS, «кто из клиентов подключался» (журнал).
• Храните резерв конфигов (скриншоты, бэкап .ovpn).
• Не раздавайте конфиги/QR неконтролируемо. Если телефон потерян — поменяйте ключ этому пиру (удалите/создайте заново).
• Не держите лишние порты снаружи — один VPN-порт хватает для всего.

Итоги

Если кратко: самый простой и быстрый приватный VPN «без чужих» — это WireGuard-сервер на самом Deco. Он даёт отличную скорость и просто настраивается. Если в прошивке сервера нет — поднимите WG/OpenVPN на локальном хосте и сделайте Port Forward на Deco. Самое важное — белый IP или DDNS, корректные маршруты (AllowedIPs), и аккуратность с NAT. В результате вы получите безопасный удалённый доступ к дому, NAS и умному дому — и при желании «интернет через дом» в одно касание.