🌐 VPN & Remote Access: Accesso Sicuro alla LAN

Target: Eliminare l’esposizione diretta dei servizi interni tramite tunnel cifrati punto-punto e reti mesh.

::: danger POLICY DI SICUREZZA: ZERO EXPOSURE Non utilizzare mai il port-forwarding per servizi sensibili (SSH, RDP, SMB, Database). L’unica porta “aperta” consentita sul router deve essere quella dedicata al servizio VPN o, preferibilmente, nessuna (utilizzando reti mesh). :::

1. Perché la VPN? (Analisi dei Rischi)

Esporre un servizio (es. Home Assistant sulla porta 8123) comporta:

1. Visibilità: Il servizio appare su motori di ricerca per hacker (es. Shodan).
2. Vulnerabilità: Se il software ha un bug zero-day, l’attaccante ha accesso immediato.
3. Brute Force: Esposizione diretta della pagina di login a attacchi dizionario.

La VPN risolve questi problemi creando un’estensione virtuale della tua rete locale su un canale cifrato.

2. Tecnologie Consigliate

A. WireGuard (L’eccellenza tecnica)

WireGuard è un protocollo moderno, estremamente veloce e con una superficie d’attacco ridottissima (circa 4.000 righe di codice contro le 600.000 di OpenVPN).

• Protocollo: UDP (molto difficile da rilevare se non attivo).
• Crittografia: Curve25519, ChaCha20, Poly1305.
• Vantaggio: Quasi impercettibile su dispositivi mobile (consumo batteria minimo).

B. Tailscale / ZeroTier (Mesh VPN - Zero Config)

Basate su WireGuard, queste tecnologie permettono di collegare dispositivi anche dietro CGNAT (quando non hai un IP pubblico reale) senza aprire porte sul router.

• Funzionamento: Utilizzano tecniche di NAT Traversal (STUN/TURN) per stabilire connessioni dirette tra i tuoi nodi.
• Uso ideale: Gestione remota del laboratorio Proxmox in mobilità estrema.

3. Configurazione Standard WireGuard (SOP)

Esempio di configurazione per un “Peer” (il tuo laptop) che si collega al server VPN di casa:

[Interface]
PrivateKey = <Tua_Chiave_Privata_Laptop>
Address = 10.0.0.2/32
DNS = 192.168.1.1 # Punta al tuo Pi-hole / DNS interno

[Peer]
PublicKey = <Chiave_Pubblica_Server_Casa>
Endpoint = casa.tuodominio.it:51820
AllowedIPs = 192.168.1.0/24, 10.0.0.0/24 # Split Tunneling

📉 Flusso di Connessione VPN (Mermaid)

graph LR
    REMOTE[Laptop / Smartphone Esterno] -->|Tunnel Cifrato UDP| INET((Internet))
    INET -->|Access Point Unico| VPN[VPN Gateway: WireGuard]
    VPN -->|Decifra e Inoltra| LAN[LAN Interna Segregata]
    
    subgraph Servizi_Protetti
        LAN --> NAS[NAS Synology/QNAP]
        LAN --> PVE[Proxmox Node]
        LAN --> HA[Home Assistant]
    end
    
    style VPN fill:#4CAF50,color:#fff,stroke:#333,stroke-width:2px
    style LAN fill:#f5f5f5,stroke:#999

🛠️ Strategie di Routing: Full vs Split Tunneling

1. Full Tunneling (AllowedIPs = 0.0.0.0/0): Tutto il traffico del tuo dispositivo passa per casa. Utile per la sicurezza su Wi-Fi pubblici sospetti.
2. Split Tunneling (AllowedIPs = 192.168.1.0/24): Solo il traffico diretto verso la tua rete locale passa per la VPN. Internet “normale” continua a usare la rete in cui ti trovi. Scelta consigliata per le performance.

💡 Note dell’Architetto (Critical Thinking)

• Kill Switch: Se usi la VPN per la privacy totale, assicurati che il client abbia il “Kill Switch” attivo (blocca internet se la VPN cade).
• Dynamic DNS (DDNS): Se non hai un IP pubblico statico, configura un client DDNS (es. DuckDNS) sul router o su una VM Proxmox per mantenere l’Endpoint VPN sempre raggiungibile.
• MFA on VPN: Se possibile (specialmente con Tailscale), abilita l’autenticazione a due fattori sull’identità che gestisce la VPN. Chi accede alla VPN è fisicamente “dentro” la tua casa digitale.

Tags: #CyberSecurity #VPN #WireGuard #Tailscale #RemoteAccess #NetworkSecurity*