WPA3-Enterprise в TP-Link Deco: как включить шифрование для бизнеса

Главная мысль: в экосистеме Deco включение WPA3-Enterprise (802.1X) возможно лишь на отдельных моделях/прошивках и только при наличии внешнего RADIUS-сервера; в большинстве случаев для «правильного бизнеса» используют гибрид: Deco остаётся шлюзом/меш-ядром, а корпоративный Wi-Fi со WPA3-Enterprise поднимают на точках доступа TP-Link Omada (EAP) или переводят всё на Omada SDN. Ниже — полный практический план: как проверить поддерживается ли WPA3-Enterprise у вашего Deco, как развернуть RADIUS, какие EAP-методы выбрать, как обойти несовместимость клиентов, и что настроить в политике безопасности.

Что такое WPA3-Enterprise и чем он отличается от WPA2-Enterprise и WPA3-Personal

• WPA3-Enterprise — режим корпоративной аутентификации по 802.1X (через RADIUS), где каждый сотрудник/устройство имеет собственные учётные данные или сертификат. Шифрование сильнее, чем в WPA2-Enterprise, а при профиле 192-bit (Suite-B) повышены требования к алгоритмам.
• WPA3-Personal (SAE) — «домашний» режим по общему паролю без RADIUS.
• WPA2-Enterprise — «предыдущий» корпоративный стандарт на 802.1X; часто используется как совместимый «переходный».
• PMF/802.11w (Protected Management Frames): для WPA3 обязателен; убедитесь, что клиенты умеют PMF — иначе они не подключатся.

Итог: для бизнеса критичны уникальные учётки и отзыв доступа без смены общего пароля. Это даёт только Enterprise-режим (802.1X), а не Personal.

Поддерживает ли ваш Deco WPA3-Enterprise - честная проверка

1. Обновите приложение Deco и прошивку всех узлов до актуальной версии.
2. Откройте Deco → Wi-Fi → Настройки сети (SSID) и посмотрите тип шифрования:
   Если есть варианты вроде WPA3-Enterprise или WPA2/WPA3-Enterprise, значит в вашей сборке реализован 802.1X.
   Если видите только WPA2-PSK/WPA3-Personal (пароль), 802.1X отсутствует — на самом Deco корпоративную аутентификацию не включить.
3. Даже когда пункт есть, без RADIUS-сервера запустить Enterprise нельзя — укажите адрес/ключ сервера в соответствующем разделе.

Практика: у многих моделей Deco Enterprise-режим недоступен. В этом случае оставляем Deco шлюзом, а SSID для сотрудников поднимаем на Omada EAP (см. §6).

Архитектуры для бизнеса: выберите подход под вашу реальность

A) «Внутри Deco» (когда 802.1X есть в прошивке)

• Плюсы: всё в одном приложении, минимум «железа».
• Минусы: ограниченный функционал Enterprise, меньше тонких настроек (динамические VLAN, тонкие политики), зависит от модели.

B) «Гибрид: Deco = шлюз, Omada EAP = корпоративный Wi-Fi»

• Плюсы: полноценный WPA3/WPA2-Enterprise, Captive-портал, динамические VLAN, RADIUS-интеграции, централизованное управление.
• Минусы: добавляется контроллер (OC200/OC300/софт) и точки EAP.

C) «Полный Omada SDN»

• Плюсы: максимум функций (L3-маршрутизация, Multi-WAN, PMS-порталы, отчёты, SNMP, API).
• Минусы: миграция ядра (ER-шлюз, JetStream-коммутаторы, EAP).

Рекомендация: для надёжного WPA3-Enterprise и масштабирования выбирайте B или C. Если у вас малый офис и Deco поддерживает 802.1X — можно начать с A, но оставьте запас на рост.

Быстрый чек-лист безопасности перед включением Enterprise

• Время/часовой пояс на роутере и сервере точные (NTP) — у сертификатов есть сроки.
• PMF (802.11w) — включён (для WPA3 обязателен), «Required» для чистого WPA3, «Capable» в смешанных режимах.
• Сегментация: сотрудники, гости, IoT — разные SSID/VLAN.
• UPnP/WPS — отключены.
• Журналы и уведомления — включены (на случай проблем аутентификации).

Развёртывание RADIUS: три варианта

Вариант 1 — Windows Server NPS (для AD/доменной инфраструктуры)

1. Установите роль Network Policy Server.
2. Добавьте Deco/EAP как RADIUS-клиент (IP и общий ключ).
3. Создайте Connection Request Policy и Network Policy (условие: группа AD «Wi-Fi-Users»).
4. Выберите EAP-метод:
   EAP-TLS (сертификаты для устройств; самый безопасный),
   либо PEAP-MSCHAPv2 (логин/пароль домена + серверный сертификат).
5. Выпустите сертификат сервера (из вашего CA) и, для EAP-TLS, клиентские сертификаты пользователям/ПК.

Вариант 2 — FreeRADIUS (Linux, в т.ч. на Raspberry Pi/NAS)

1. Установите пакет freeradius, добавьте точку доступа как client (секретный ключ).
2. Настройте eap (tls/peap), укажите пути к сертификатам.
3. Создайте пользователей (files, LDAP/AD через rlm_ldap, или TLS-клиенты).
4. Проверьте radtest, затем — подключение с реального устройства.

Вариант 3 — Облачный/внешний RADIUS

• Удобно, когда нет своей инфраструктуры. Проверяйте: шифрование, хранение логов, соответствие политике безопасности.

Выбор EAP-метода:

• EAP-TLS — «золото»: нет паролей, только сертификаты; сложнее внедрение, но выше безопасность.
• PEAP-MSCHAPv2 — проще внедрить (логин/пароль AD), обязательно проверяйте имя и CA серверного сертификата на клиентах.
• TTLS/PAP — редко используют в корпоративном Windows-окружении.

Сценарий «Deco = шлюз, корпоративный Wi-Fi на Omada EAP»

Когда 802.1X недоступен в Deco или нужны расширенные функции:

1. Оставьте Deco главным роутером (Интернет, DHCP, межсетевой экран).
2. Подключите к Deco управляемый коммутатор (PoE — если EAP питаются по PoE).
3. Установите Omada Controller (OC200/OC300 или ПО).
4. Подключите EAP (EAP660/670/EAP653/EAP650-Wall и др.) и «усыновите» их в контроллере.
5. Создайте SSID для сотрудников → WPA3-Enterprise (или WPA2/WPA3-Enterprise для совместимости) → укажите RADIUS (IP/порт/secret).
6. По желанию — включите динамические VLAN (Assignment по RADIUS), Fast Roaming (802.11k/v/r), Band Steering, Load Balancing.
7. Гости — отдельный SSID с Captive-порталом и изоляцией клиентов; IoT — в своей «песочнице».

Плюсы: гибкость, масштабируемость, нормальный набор корпоративных фич. Минусы: добавляется слой управления (контроллер), но он окупается.

Если WPA3-Enterprise доступен в Deco: пошаговое включение

Ниже — обобщённая логика; названия пунктов в приложении могут отличаться.

1. Deco → Wi-Fi → (Ваш SSID) → Security/Безопасность.
2. Выберите WPA3-Enterprise (или WPA2/WPA3-Enterprise как переходный режим).
3. Введите параметры RADIUS:
   Server IP/Имя,
   Port 1812 (а Accounting — 1813, если нужен),
   Shared Secret/Общий ключ.
4. PMF/802.11w: «Required» — для чистого WPA3, «Capable» — если есть старые клиенты.
5. Сохраните, перезапустите Wi-Fi.
6. Проверьте подключение с эталонного клиента: ноутбук в домене (EAP-TLS/PEAP), телефон с профилем Wi-Fi (MDM), проверка сертификата сервера (CN и CA).
7. Посмотрите лог RADIUS — запись Access-Accept.

Совет: сначала поднимите новый SSID в Enterprise-режиме для теста, а не переводите сразу основную сеть.

Совместимость и «переходный период»

• Смешанный режим WPA2/WPA3-Enterprise: помогает, когда часть устройств ещё не умеют WPA3. Если видите «странные» обрывы — временно оставьте только WPA2-Enterprise и постепенно обновляйте парк клиентов.
• PMF: «Capable» на время миграции; «Required» — когда убедитесь, что все клиенты готовы.
• Fast Roaming (802.11r): отдельные клиенты с 802.1X «капризничают» — при проблемах оставьте только k/v.
• Сертификаты: старые Android требуют «Доверять этому CA» и «Имя сервера» — настройте MDM-профили, чтобы пользователи не «тыкали наугад».

Политики безопасности: что считать «минимальной гигиеной»

• Единый каталог пользователей (AD/AzureAD/LDAP) и группы («Wi-Fi-Users», «Admins»).
• MDM/Intune/Jamf — раскатка профилей Wi-Fi и сертификатов без ручных «танцев».
• Пароли (при PEAP): политика сложности + ротация; лучше переход на EAP-TLS.
• Логи и алерты: Access-Reject, аномалии аутентификации, попытки входа вне рабочих часов.
• Сегментация VLAN/ACL: Wi-Fi сотрудников ≠ серверы/бухгалтерия по умолчанию; давайте доступ «по минимуму».
• Гостевой доступ — только через портал; IoT — в изолированном SSID.

Диагностика: что смотреть, если «не коннектится»

• Время и сертификаты: проверьте дату/время на клиентах, RADIUS и Deco.
• CN/CA серверного сертификата: клиент отвергает «не тот сертификат».
• Wrong shared secret между Deco/EAP и RADIUS — частая опечатка.
• Firewall: открыты ли UDP 1812/1813 (и 1645/1646, если «старые» номера портов).
• Логи RADIUS: в NPS — Event Viewer; в FreeRADIUS — /var/log/freeradius/radius.log/journalctl.
• PMF слишком строгий на старых клиентах — переведите из «Required» в «Capable» на время теста.
• Тип EAP: если Windows-ноуты не настроены на EAP-TLS — они по умолчанию пытаются PEAP; выровняйте политику.

Производительность и радионастройки под Enterprise

• 5 ГГц/6 ГГц — базовый диапазон для офиса; 2,4 ГГц оставьте только «на крайний случай».
• Ширина 5 ГГц: 40–80 МГц; в плотных офисах 40 МГц даёт стабильнее ёмкость.
• Каналы: избегайте «прыгающих» DFS, если у вас много видео-коллов/VoIP.
• Мощность TX: лучше больше точек на средней мощности, чем «пушка» на максимум.
• Ethernet-backhaul между узлами Deco/точками — чтоб шифрованные сессии не «забивались» межузловым радио.

Итоги

Если кратко: WPA3-Enterprise — это про 802.1X и RADIUS. На некоторых Deco его можно включить прямо в приложении (если прошивка поддерживает), но для настоящего корпоративного сценария комфортнее и функциональнее — поднять SSID с WPA3-Enterprise на Omada EAP, оставив Deco шлюзом или перейдя на полный стек Omada. Делайте ставку на EAP-TLS, включайте PMF, используйте MDM для бесшовного онбординга, держите гостей и IoT в отдельных SSID/VLAN, и не забывайте про логи/уведомления. Так вы получите безопасный и устойчивый Wi-Fi без танцев с паролями и без «чёрных ходов».