Локальный VPN-сервер на TP-Link Deco: доступ к домашней сети извне

Главная мысль: на многих моделях TP-Link Deco можно поднять локальный VPN-сервер (чаще всего OpenVPN и/или L2TP/IPsec) и безопасно попадать в домашнюю сеть из любого места — без проброса «голых» портов камер, NAS и ПК в интернет. Основные условия успеха: режим работы «Router» у Deco, внешний «белый» IP (или корректный мост/проброс на вышестоящем роутере), включённый DDNS, грамотные учётные записи и проверка с мобильного интернета.

Ниже — пошаговый план, как подготовиться, выбрать протокол, настроить сервер и клиенты, обойти CG-NAT, протестировать, повысить безопасность и решить типичные ошибки.

Что даёт локальный VPN на Deco и когда это нужно

• Безопасный доступ к локалке: NAS, общие папки, медиасерверы (DLNA/Plex), принтеры, панели умного дома, веб-интерфейсы камер — всё видно из-вне как будто вы дома.
• Работа «как в офисе»: подключение к домашнему ПК по RDP/SSH/VNC, «тонкие» IDE, удалённая отладка устройств.
• Защита приватности: трафик зашифрован; не нужно открывать в интернет «живые» порты 80/443/554 и т. п.
• Стабильность сервисов: DDNS «склеивает» плавающий IP провайдера в читаемое имя, клиенты перестают «теряться» при смене адреса.

Что важно: VPN-сервер на Deco — это WAN-функция, поэтому в режиме «AP» (точка доступа) он недоступен или бесполезен. Для работы сервера Deco должен быть главным роутером (или на вышестоящем роутере должен быть корректный проброс портов на Deco/внутренний сервер).

Чек-лист готовности (10 минут)

1. Режим работы Deco: Router (не AP).
2. Внешний IP провайдера: «белый» (статический или динамический). Если CG-NAT — попросите белый IP или используйте альтернативы (ниже).
3. DDNS: включите TP-Link DDNS и получите адрес вида имя.tplinkdns.com.
4. Время и часовой пояс: на Deco и клиентах должно быть правильно — TLS/сертификаты и IPsec к этому чувствительны.
5. Прошивка/приложение: обновите Deco и приложение на смартфоне.
6. Сети: сохраните схему LAN (диапазон, маска), чтобы понимать, какие подсети должны «видеться».
7. Выбор протокола: для кроссплатформенности берите OpenVPN (универсально) или L2TP/IPsec (нативно на iOS/Android/Windows/macOS).
8. Учётные записи: подготовьте отдельного VPN-пользователя с сильным паролем (и отдельный PSK для L2TP/IPsec).
9. Тест снаружи: второй телефон с LTE/5G или ноут через раздачу — пригодится для проверки «как будто вне дома».
10. План Б: если Deco стоит за «комбайном» провайдера, уточните — можно ли включить Bridge/Bridge-mode на нём или сделать проброс портов на Deco.

DDNS на Deco: чтобы не запоминать IP

1. Откройте приложение Deco → More/Ещё → DDNS.
2. Включите TP-Link DDNS, задайте удобное имя хоста.
3. Убедитесь, что статус «Bound/Connected», и запишите доменное имя — вы впишете его в VPN-клиентах вместо IP.
4. Проверка: с телефона вне дома пропингуйте имя.tplinkdns.com — должен резолвиться ваш текущий внешний IP.

Выбор протокола: OpenVPN vs L2TP/IPsec (и где PPTP/WireGuard)

• OpenVPN (UDP 1194 по умолчанию): кроссплатформенно, стабильно за NAT, легко выдаёт единый .ovpn-файл, гибко настраивается (сплит/полный туннель). Рекомендуется по умолчанию.
• L2TP/IPsec (UDP 500/4500/1701): нативная поддержка в системах без софта; удобен для телефонов. Требует корректной работы NAT-Traversal, иногда его блокируют корпоративные сети.
• PPTP: устаревший и небезопасный; включать только в исключительных случаях и временно.
• WireGuard: встречается на части роутеров TP-Link, но на Deco доступен не на всех моделях/прошивках. Если есть — это быстрый и простой вариант (порт UDP 51820, конфиг QR/peer-ключи). Если нет — не критично, используйте OpenVPN.

Итог: если сомневаетесь — начните с OpenVPN (UDP); для iOS/Android можно параллельно поднять L2TP/IPsec ради «встроенного» клиента.

Настройка OpenVPN-сервера на Deco (пошагово)

1. Deco → More/Ещё → VPN (или Advanced → VPN Server) → OpenVPN Server: Enable.
2. Порт и протокол: UDP, порт 1194 (или свой нестандартный, например 443/UDP если у вас «шумный» провайдер).
3. Сеть VPN (Pool): оставьте по умолчанию или задайте отдельную подсеть (например, 10.8.0.0/24).
4. Доступ: выберите режим маршрутизации —
   Только доступ к домашней сети (split-tunnel): экономит мобильный трафик, интернет у клиента ходит напрямую.
   Весь трафик через VPN (full-tunnel): максимально приватно, но выше задержка, больше нагрузка на домашний канал.
5. Учётки: добавьте VPN-пользователя (логин/пароль).
6. Экспорт конфигурации: нажмите Export и сохраните .ovpn-файл (часто в архиве с сертификатами — экспортируйте всё как есть).
7. DDNS: в конфиге проверьте, что в строке remote стоит ваш имя.tplinkdns.com, а не голый IP. Если IP — замените вручную.
8. Клиент на ПК/ноуте: установите официальный клиент OpenVPN, импортируйте .ovpn. На macOS можно использовать Tunnelblick/Viscosity.
9. Клиент на Android/iOS: установите OpenVPN Connect, импортируйте .ovpn (через «Поделиться», iCloud/Files и т. д.).
10. Тест: отключите Wi-Fi на телефоне (LTE/5G), подключитесь к VPN и проверьте доступ: ping NAS/роутер по LAN-IP, зайдите на веб-панель умного дома.

Настройка L2TP/IPsec на Deco (пошагово)

1. Deco → VPN → L2TP/IPsec Server: Enable.
2. Pre-Shared Key (PSK): задайте длинный случайный ключ (храните вне заметок в телефоне).
3. Пул адресов: выберите подсеть для клиентов (например, 10.9.0.0/24), чтобы она не пересекалась с вашей LAN.
4. Учётки: создайте пользователей (логин/пароль).
5. Порты: на граничном устройстве должны быть открыты/проброшены UDP 500/4500/1701 на Deco (если Deco — не главный роутер).
6. Клиенты:
   iOS/iPadOS: Настройки → VPN → Добавить конфигурацию → L2TP (IPsec) → сервер имя.tplinkdns.com, учётка, секрет (PSK).
   Android: Настройки сети → VPN → L2TP/IPsec PSK.
   Windows/macOS: встроенные диалеры L2TP/IPsec.

Если при наборе сотовых сетей L2TP «висит», попробуйте другой APN оператора, либо переходите на OpenVPN (он устойчивее за NAT).

Если Deco не главный: двойной NAT, мост и пробросы

Вариант 1. Перевести провайдерский «комбайн» в Bridge. Тогда Deco получает «белый» WAN и полностью управляет NAT/VPN — лучший путь.

Вариант 2. Оставить «комбайн» роутером и пробросить порты на Deco.

• Для OpenVPN — проброс UDP-порта (1194 или ваш) на WAN-IP Deco.
• Для L2TP/IPsec — три проброса: UDP 500/4500/1701 на WAN-IP Deco.
• Дополнительно включите на «комбайне»: «VPN pass-through», NAT-T/IPsec-Passthrough (если есть).
• На Deco в таком сценарии VPN-сервер всё равно работает, но вы зависите от корректности пробросов и ALG на «комбайне».

Важно: в AP-режиме Deco не делает NAT и обычно не поднимает WAN-сервисы — перенесите сервер на устройство выше (или переводите Deco в Router).

CG-NAT: как понять и что делать

Признаки: внешний IP в Deco один, а на «какой мой IP» — другой; пробросы не работают; провайдер пишет про NAT44/CG-NAT.

Решения:

• Закажите у провайдера белый динамический/статический IP.
• Если провайдер поддерживает IPv6, поднимите IPv6 на Deco и используйте OpenVPN/WireGuard с IPv6-доступом (не всегда удобно из мобильных сетей).
• Как «тяжёлая артиллерия» — обратный туннель через VPS (не локально, но сработает при запрете «белых» IP). Когда цель — именно локальный сервер на Deco, без белого IP не обойтись.

Проверка и диагностика: «подключается, но не видно локалку»

1. Проверьте, какой режим выбрали: split-tunnel или full-tunnel. Для доступа к LAN split подходит, но убедитесь, что клиент получил маршрут до подсети дома.
2. Пинг по IP, не по имени. DNS-суффиксы/локальные имена не всегда резолвятся.
3. Брандмауэр на ПК/NAS. Разрешите входящие с подсети VPN.
4. Одинаковые подсети на клиенте и дома. Если дома 192.168.0.0/24, а у клиента тоже — маршрутизация «спутается». Смените одну из подсетей (например, домашнюю на 192.168.50.0/24).
5. OpenVPN Connect «зелёный», но скорость низкая. Используйте UDP, не TCP; попробуйте другой порт (443/UDP), выключите «ускорители»/антивирусы, проверьте, что шифрование не перебор (на слабых SoC).
6. L2TP «поднимается», но рвётся. Проверьте PSK, часы, открыты ли UDP 500/4500/1701, работает ли NAT-T на «комбайне».

Безопасность: минимум, который обязателен

• Сильные пароли для VPN-учёток; отдельные логины «на человека».
• L2TP/IPsec: длинный PSK (16+ символов).
• Отключите PPTP, если его не требовали — он устарел.
• DDNS и 2FA: включите 2FA на TP-Link ID, чтобы никто не захватил вашу учётку.
• Remote Management: не открывайте админку Deco с WAN «на мир».
• Обновления ночью: держите прошивки актуальными.
• Ограничивайте доступ на клиентах: RDP/SSH — только с подсети VPN.

Частые сценарии и тонкости

- Доступ только к домашней сети (split): удобно для телефонов — весь «мир» идёт напрямую, а к NAS и камерам — по VPN.
- Полный туннель (full): полезно в публичных Wi-Fi, когда весь трафик надо шифровать.
- VPN для «родни» и гостей: создайте отдельные логины и ограничьте их права на NAS/умный дом.
- Отдельный профиль для «админа»: включите full-tunnel, чтобы админ-сеансы всегда шли по защищёнке.
- IPv6-LAN: если используете IPv6 внутри, проверяйте, что клиенты получают правильные маршруты (или ориентируйтесь на IPv4 в VPN).

Куда девать камеры/умный дом

VPN-сервер позволяет не пробрасывать RTSP/HTTP камер в интернет. Заходите в приложение камер через облако, а в локальные потоки — по VPN. Для Home Assistant/NAS-панелей — то же самое: связывайтесь адресами 192.168.x.x поверх туннеля.

Краткий план «поднять за 30 минут»

1. Переведите Deco в Router, обновите прошивку.
2. Включите DDNS, убедитесь, что имя резолвится.
3. Поднимите OpenVPN-Server (UDP 1194), экспортируйте .ovpn.
4. Создайте пользователя, проверьте split vs full.
5. Установите OpenVPN Connect на телефон/ПК, импортируйте конфиг.
6. Отключите Wi-Fi, подключитесь по LTE/5G, пропингуйте NAS и веб-панель умного дома.
7. При необходимости поднимите L2TP/IPsec для нативного клиента iOS/Android.
8. Запишите пароли/PSK/порт и храните отдельно.

Типичные ошибки и быстрые исправления

• VPN не подключается вообще: проверьте CG-NAT; проверьте, что Deco — главный; убедитесь в пробросе портов (если есть вышестоящий роутер).
• Подключается, но «ничего не видно»: конфликт подсетей; брандмауэр клиента; нет маршрута до LAN.
• Упала скорость интернета после подключения: вы включили full-tunnel — это нормально. Переключите на split, если нужно только «видеть дом».
• Слетает раз в сутки: проверьте, не меняется ли внешний IP. DDNS должен «успевать»; перегенерируйте конфиг с доменным именем, а не IP.
• iOS пишет «секрет неверный»: перепроверьте PSK и тип (L2TP over IPsec), часы обоих устройств, UDP-порты 500/4500/1701.

Альтернативы, если «совсем нельзя» белый IP

• VPN-сервер на другом устройстве в LAN: NAS, мини-ПК, одноплатник (там можно поднять WireGuard/OpenVPN). Потребуется проброс портов на «комбайне».
• Обратный туннель через VPS: локальный клиент сам устанавливает исходящее соединение, а вы подключаетесь к VPS. Это уже не «локальный сервер на Deco», но решает блокировки и CG-NAT.

Итоги

Если коротко: поднимите DDNS, включите OpenVPN-сервер на Deco в режиме Router, создайте пользователей, экспортируйте .ovpn и протестируйте через мобильную сеть. При необходимости дополняйте L2TP/IPsec для нативных клиентов. Следите за белым IP (или делайте мост/пробросы), выбирайте split/full туннель по задаче, не используйте PPTP и держите прошивку свежей. Так вы получите безопасный «удалённый вход домой» без дыр в фаерволе и лишней нервотрёпки.