Главная мысль: самый безопасный удалённый доступ к умному дому на TP-Link строится по трём столпам: приватный VPN (WireGuard/OpenVPN) → сегментация IoT в отдельной сети → «гигиена» роутера и облачных учёток (2FA, обновления, запрет лишних открытых портов и UPnP). Задача — свести поверхность атаки к минимуму: никаких лишних портов наружу, IoT изолированы, доступ только через VPN/облако с 2FA, всё обновлено. Подходит для Deco и Archer; для Omada — аналогично через контроллер. Идея: если «умная лампа» скомпрометирована, она не увидит ваш ноут/сервер и не сможет «бродить» по сети...

Главная мысль: в экосистеме Deco включение WPA3-Enterprise (802.1X) возможно лишь на отдельных моделях/прошивках и только при наличии внешнего RADIUS-сервера; в большинстве случаев для «правильного бизнеса» используют гибрид: Deco остаётся шлюзом/меш-ядром, а корпоративный Wi-Fi со WPA3-Enterprise поднимают на точках доступа TP-Link Omada (EAP) или переводят всё на Omada SDN. Ниже — полный практический план: как проверить поддерживается ли WPA3-Enterprise у вашего Deco, как развернуть RADIUS, какие EAP-методы выбрать, как обойти несовместимость клиентов, и что настроить в политике безопасности...