Una famiglia con due telefoni, due laptop, una smart TV, una console e uno smart speaker fa sette dispositivi che potrebbero aver bisogno tutti di copertura VPN. Installare e mantenere un client VPN su ciascuno è noioso. Alcuni di essi, soprattutto le console e molti dispositivi IoT, non possono eseguire affatto un normale client VPN. Altri, come le smart TV, potrebbero supportare le app VPN solo su determinate piattaforme.
Un VPN router risolve la questione eseguendo la VPN sul router stesso, così ogni dispositivo dietro di esso eredita il tunnel senza installare nulla. Il termine copre diverse configurazioni: un router che si connette verso l'esterno a un provider VPN per conto della LAN, un router che fa da server VPN permettendoti di entrare nel tunnel da altrove, o un gateway auto-ospitato su un VPS che controlli da un capo all'altro.
La versione breve
- Un VPN router esegue il software VPN sul router, così ogni dispositivo connesso, comprese quelli che non possono eseguire un client VPN da soli, usa il tunnel automaticamente.
- Ha due modalità che risolvono problemi diversi: la modalità client incanala il traffico in uscita verso un provider VPN o il tuo server; la modalità server permette ai dispositivi remoti di entrare nel tunnel verso la tua LAN.
- WireGuard è il protocollo giusto per una VPN a livello di router in quasi tutti i casi. Il codebase è piccolo, il costo per pacchetto è basso e le CPU dei router consumer lo gestiscono meglio di quanto facciano con OpenVPN.
- Hai quattro modi per averne uno: usare un router che supporta già la VPN, installare un firmware personalizzato su un router che possiedi, comprare un VPN router preconfigurato, oppure saltare del tutto l'hardware ed eseguire WireGuard su un VPS. L'ultima opzione è la più forte se vuoi scelta del server, controllo giurisdizionale, o se già ospiti servizi in autonomia.
Come funziona davvero un VPN router
Quando un dispositivo si connette a un VPN router in modalità client, il dispositivo non sa di essere su una VPN. Riceve un normale lease DHCP dal router, apre una connessione TCP verso una destinazione e invia pacchetti. È il router a fare la cifratura. Il dispositivo vede una normale LAN. Ci sono due modalità da capire, e la maggior parte dei "VPN router" consumer fa bene solo la prima.
Modalità VPN client (in uscita)
In modalità client, il router custodisce le credenziali VPN e incanala tutto il traffico in uscita per conto dei dispositivi dietro di esso. Il flusso dati è: dispositivo → router → tunnel cifrato → server VPN → internet pubblico.
Ogni dispositivo sulla LAN usa lo stesso tunnel automaticamente. Il router prende ogni pacchetto, lo cifra e lo inoltra all'endpoint VPN configurato. L'internet pubblico vede l'IP di uscita del server VPN, non l'IP assegnato dall'ISP di casa. Questa è la configurazione che le persone intendono di solito quando dicono "VPN router".
La cifratura avviene sulla CPU del router. Questo è il dettaglio meccanico importante. I router consumer più vecchi ed economici possono montare chip ARM o MIPS a basso clock con accelerazione crittografica limitata, mentre i router VPN-capable più recenti sono molto più veloci. In ogni caso, il router resta responsabile di cifrare ogni byte in entrata e in uscita da ogni dispositivo della rete, quindi l'hardware del router diventa il tetto delle prestazioni.
Il protocollo conta qui per lo stesso motivo. Il costo per pacchetto di WireGuard è inferiore a quello di OpenVPN, ed è per questo che il supporto a WireGuard sui router consumer è la caratteristica che vale la pena cercare. Vedi la guida esistente alla configurazione di WireGuard su un VPS.
Modalità VPN server (in entrata)
In modalità server, è il router stesso a eseguire un server VPN. I dispositivi remoti sull'internet aperto si connettono in entrata all'IP pubblico del router e arrivano sulla LAN come se fossero seduti in soggiorno. Il flusso dati è: dispositivo remoto → IP pubblico → server VPN del router → risorse della LAN.
Questo risolve un problema diverso. È accesso remoto, non privacy in uscita. Un laptop in un bar può raggiungere un file server a casa. Un telefono all'estero può raggiungere la rete domestica. Il router è il server VPN; il telefono è il client VPN.
La modalità server richiede un indirizzo IP pubblico instradabile. Se il tuo ISP ti ha messo dietro un CGNAT, e molti ISP residenziali lo fanno, non c'è alcun IP pubblico a cui connettersi in entrata, e questa modalità non funziona senza ulteriori accorgimenti. Di solito è richiesto anche il port forwarding, il che limita questa opzione a chi possiede il router e può configurarne il firewall.
Le due modalità non si escludono a vicenda. Un router capace può eseguirle entrambe insieme. Ma i casi d'uso sono del tutto diversi. La modalità client è per "voglio tutta la casa dietro un'uscita VPN". La modalità server è per "voglio raggiungere casa mia da altrove".
I quattro percorsi verso una VPN a livello di router
Non esiste una cosa sola chiamata "avere un VPN router". Ci sono quattro percorsi, e si dispongono lungo due assi: quanto controllo su hardware e firmware vuoi, e se vuoi un provider commerciale o il tuo server all'altro capo del tunnel. Il percorso giusto dipende da quale di questi assi conta di più.
Percorso 1: usa il tuo router attuale (se supporta la VPN)
Diversi produttori di router consumer ora includono il supporto nativo al client VPN, WireGuard incluso, nel loro firmware di serie. ASUS supporta WireGuard nativamente sui firmware recenti. Le serie Flint e Beryl di GL.iNET supportano WireGuard pronto all'uso, documentato nel loro tutorial ufficiale.
Questo è il percorso più economico e a minor rischio. Se il tuo router è già in questa lista, non installi nessun firmware e non rompi nulla. Inserisci una configurazione WireGuard nel pannello di amministrazione e il tunnel si attiva. Il limite è quello ovvio: il router deve supportare il protocollo che vuoi, e le opzioni di protocollo dipendono da ciò che il produttore include. I modelli più vecchi non riceveranno WireGuard in modo retroattivo.
Percorso 2: installa un firmware personalizzato (OpenWrt, DD-WRT, FreshTomato)
Se il tuo router non è nella lista dei supportati, puoi sostituirne il firmware con una delle alternative open source. OpenWrt è il più attivamente mantenuto dei tre e ha il supporto hardware più ampio. Anche DD-WRT è attivo, con una filosofia di progettazione diversa e un bacino più grande di dispositivi supportati. FreshTomato continua il progetto Tomato originale, ma è limitato ai chipset Broadcom e serve una community molto più piccola.
Il firmware personalizzato ti dà scelta di protocollo: OpenVPN, WireGuard, IPsec, tutti configurabili. Ti dà anche tutto il resto che quei progetti offrono: QoS migliore, regole firewall granulari, gestione dei pacchetti. Il prezzo è il rischio e il tempo.
Consiglio professionale
Installare un firmware personalizzato può rompere in modo permanente un router se scegli l'immagine sbagliata, vai via la corrente a metà flash, o esegui una build con un bug per la tua specifica revisione hardware. Scegli un modello che il progetto firmware supporta esplicitamente, leggi la pagina specifica del dispositivo e accetta di aver invalidato la garanzia. Se il router che rompi è il tuo unico router, mettiti in conto di restare offline per il tempo necessario a procurarti un sostituto.
Percorso 3: compra un VPN router preconfigurato
Il percorso più semplice. Produttori come GL.iNET vendono router con WireGuard integrato pronto all'uso. Alcuni provider VPN commerciali vendono anche router brandizzati e preconfigurati per il loro servizio, il che significa che lo colleghi, inserisci le credenziali del tuo account e hai finito.
I compromessi sono il prezzo e il lock-in. I router preconfigurati costano di più per unità rispetto a costruirteli da solo. Se l'unità arriva brandizzata con uno specifico provider VPN, sei legato ai protocolli, ai paesi di uscita e alla policy di logging di quel provider. Se il provider cambia i suoi termini o chiude, il router non passa facilmente a un nuovo servizio.
Il quarto percorso è leggermente diverso perché non richiede di comprare o installare hardware router. Ti dà comunque copertura VPN a livello di router se il tuo router punta a monte verso il VPS, ma l'endpoint VPN stesso vive su un server invece che dentro il router.
Percorso 4: usa un VPS come gateway VPN
Esegui WireGuard o OpenVPN su un VPS Linux, poi punta il tuo router o i singoli dispositivi verso quel server. Questo non è un acquisto di router hardware. È una strategia di endpoint diversa, quindi i compromessi meritano una loro sezione qui sotto.
| Percorso | Complessità di Configurazione | Tetto delle prestazioni | Cambio del server | Rischio hardware | Costo ricorrente | Adatto a |
|---|---|---|---|---|---|---|
| Router esistente | Basso | Limitato dalla CPU del router | Dal pannello di amministrazione | Nessuno | Nessuno oltre l'ISP | Possiedi già un router supportato |
| Installa firmware personalizzato | Alto | Limitato dalla CPU del router | Dal pannello di amministrazione | Rischio di rottura | Nessuno oltre l'ISP | Vuoi flessibilità di protocollo e accetti il rischio |
| Router preconfigurato | Il più basso | Limitato dalla CPU del router | Dipendente dal produttore | Nessuno | Costo dell'hardware; abbonamento al provider se incluso | Vuoi il plug-and-play e accetti il sovrapprezzo |
| VPS come gateway | Medio-alto | Limitato dalla CPU del VPS (più alta) | Avvia un nuovo VPS in un'altra regione | Nessuno | Noleggio mensile del VPS | Vuoi scelta giurisdizionale, prestazioni migliori, o già ospiti servizi in autonomia |
Quando un VPN router ha senso e quando no
La domanda non è se una VPN sul router sia migliore di una VPN sul dispositivo in astratto. È se la tua situazione specifica richiede davvero una copertura su tutta la rete, perché nel momento in cui metti una VPN sul router, ogni dispositivo dietro di esso paga la stessa tassa di cifratura.
Casi d'uso in cui una VPN sul router ripaga il costo della configurazione
Le famiglie con molti dispositivi sono il caso più chiaro. Una volta che gestisci più di quattro o cinque dispositivi, installare e aggiornare i client VPN su ciascuno è una scocciatura. La configurazione a livello di router si imposta una volta sola.
I dispositivi con supporto VPN limitato o macchinoso sono il secondo caso. Le console di gioco, la maggior parte dei dispositivi IoT e gli hub smart-home più vecchi di solito non hanno alcuna app VPN normale disponibile. Alcune smart TV possono eseguire app VPN, soprattutto Android TV / Google TV e i modelli Apple TV più recenti, ma una VPN a livello di router aiuta comunque quando la piattaforma TV non supporta il tuo provider o quando vuoi un'unica policy di rete coerente.
Il viaggio è il terzo caso. Un router da viaggio compatto con supporto WireGuard significa che un solo tunnel copre ogni dispositivo in una camera d'albergo (telefono, laptop, tablet) attraverso il Wi-Fi del router, a prescindere da cosa faccia la rete dell'hotel. La stessa logica vale per un gateway VPS raggiunto tramite il router da viaggio.
I piccoli uffici e gli spazi condivisi sono il quarto caso. Un'unica policy di rete coerente applicata al gateway è più facile da gestire mentalmente rispetto a una flotta di configurazioni a livello di dispositivo che con il tempo divergono.
Casi in cui la VPN sul router è la scelta sbagliata
Se cambi spesso paese di uscita VPN per contenuti bloccati per regione, test di giurisdizione o qualsiasi altro motivo, una VPN a livello di router è lo strumento sbagliato. Cambiare uscita su un telefono è un tap. Farlo su un router richiede di accedere al pannello di amministrazione.
Se hai bisogno di split-tunneling a livello di applicazione, alcune app attraverso la VPN e altre dirette, un'app VPN a livello di dispositivo lo gestisce in modo pulito. Il router non può facilmente capire quale applicazione ha generato quale pacchetto.
Se alcuni dispositivi sulla tua rete hanno bisogno della VPN e altri assolutamente non devono averla, la VPN sul router mette tutti dietro lo stesso IP di uscita. Le app bancarie segnalano il traffico VPN. I servizi di streaming bloccati per regione smettono di funzionare. Una policy generale sul router significa una soluzione alternativa generale per ogni eccezione.
Se hai uno o due dispositivi, un livello a livello di router risolve un problema che non hai.
How-To Geek ha sollevato l'argomento della latenza nel 2023: una VPN su tutta la rete impone la latenza della VPN a ogni dispositivo connesso, comprese quelli che svolgono attività sensibili alla latenza come il gaming, le videochiamate e le riunioni in tempo reale, che durante quelle attività non beneficiano della protezione VPN. Quell'argomento è corretto e va soppesato. La soluzione non è abbandonare la VPN sul router. È riconoscere che potresti voler tenere alcuni dispositivi fuori dal tunnel.
Molti provider VPN commerciali limitano ancora le connessioni simultanee per account, mentre altri ora offrono un numero di dispositivi più alto o illimitato. Una VPN sul router può comunque essere utile perché il provider di solito vede il router come un'unica connessione VPN, anche se diversi dispositivi gli stanno dietro.
Scelta del protocollo: WireGuard, OpenVPN e gli altri
La scelta del protocollo conta più su un router che su un laptop, perché è la CPU del router a fare la cifratura e la CPU del router è lenta. Un laptop moderno con AES-NI gestisce OpenVPN o WireGuard altrettanto bene a gigabit. Un router consumer no.
WireGuard è la risposta giusta per quasi ogni scenario. Il codebase è drasticamente più piccolo di quello di OpenVPN, il che lo rende più facile da verificare e revisionare. La crittografia è moderna: ChaCha20 per la cifratura, Poly1305 per l'autenticazione, Curve25519 per lo scambio di chiavi. L'handshake si completa in un solo round trip; l'handshake TLS di OpenVPN ne richiede diversi. Il costo di elaborazione per pacchetto è abbastanza basso da far sì che le CPU dei router consumer lo gestiscano dove con OpenVPN farebbero fatica. WireGuard è ora supportato nativamente da ASUS, GL.iNET e dalla maggior parte dei progetti di firmware personalizzato.
OpenVPN ha ancora il suo posto. È maturo, ampiamente supportato e ha un'integrazione più estesa con i sistemi di autenticazione aziendali. Se hai già una distribuzione OpenVPN con i certificati emessi, o hai un requisito di compatibilità specifico che WireGuard non soddisfa ancora, OpenVPN resta una scelta ragionevole. Gira bene su router capaci.
L2TP/IPsec compare ancora su molte pagine di amministrazione dei router, perlopiù per compatibilità con il passato. Può funzionare, ma non è il protocollo da scegliere per una nuova VPN a livello di router quando WireGuard è disponibile. PPTP va considerato morto. Ha problemi di sicurezza noti, e Microsoft ha già avviato la deprecazione di PPTP e L2TP dalle future versioni di Windows Server.
Consiglio professionale
Se la CPU del tuo router ha più di cinque anni e non ha l'accelerazione hardware per WireGuard, esegui WireGuard comunque. Anche senza accelerazione, di solito batte OpenVPN accelerato sullo stesso hardware. Le eccezioni sono rare e riguardano specifici chip Broadcom con offload OpenVPN dedicato. Se non riesci a verificare che il tuo router rientri in uno di quei casi limite, scegli WireGuard per impostazione predefinita.
Una nota sulle affermazioni di prestazioni che circolano online. La stessa pagina sulle prestazioni di WireGuard descrive i suoi benchmark pubblicati come "vecchi, polverosi e non condotti benissimo". Sono gli autori stessi del progetto. I rapporti di throughput specifici che trovi citati nei blog di terze parti di solito non hanno una fonte autorevole. L'affermazione qualitativa secondo cui WireGuard in genere supera OpenVPN, soprattutto su hardware meno potente, è ben supportata. I moltiplicatori specifici no.
Costruire un VPN router o usare un gateway VPS?
Per un lettore tecnico, il confronto più pulito è il posizionamento dell'endpoint: la VPN termina su hardware in casa tua, o su software in esecuzione su un server che noleggi?
Un VPN router hardware ha alcuni punti di forza specifici. Il confine di cifratura è fisicamente isolato su un dispositivo che possiedi. Non c'è alcun costo di noleggio ricorrente oltre il tuo ISP. Il modello mentale è semplice: una scatola, una configurazione, un cavo alla presa. Per uno scenario di viaggio, un router hardware in un formato tascabile (le unità GL.iNET di classe Beryl, ad esempio) è un oggetto davvero utile.
Un VPS come gateway ha punti di forza diversi. Un VPS decente di solito ti dà compute più prevedibile e più margine di un router consumer economico, soprattutto quando ti servono più uscite, un uplink più alto o più tunnel simultanei. Scegli tu la giurisdizione. L'uscita VPN è dove vive il VPS, e puoi spostarla. Controlli il demone VPN e il suo logging a livello di applicazione, anche se il provider di hosting controlla comunque l'infrastruttura sottostante. Se vuoi una seconda uscita in un'altra regione, avvii un altro VPS in 10 minuti invece di comprare un altro router.
Un punto di partenza ragionevole per dimensionare un gateway VPN personale è 1 vCPU e 1 GB di RAM, che gestisce da 5 a 10 connessioni di dispositivi simultanee con WireGuard a banda residenziale. Una cifratura simultanea più pesante o un uplink più alto giustificano un piano ottimizzato per la CPU. Il lavoro di cifratura è legato alla CPU, non alla memoria. Vedi migliore VPS per VPN per il dimensionamento del piano.
Scegli l'hardware se vuoi zero costi mensili oltre il tuo ISP, possiedi già un router capace, o ti serve specificamente un formato da router da viaggio. Scegli un VPS se vuoi prestazioni di cifratura migliori di quelle che un router consumer può offrire, scelta giurisdizionale sull'uscita, o se già ospiti altri servizi in autonomia e aggiungere un altro demone non è un onere in più. Per ambienti di rete restrittivi, il percorso VPS può anche essere più facile da adattare di una configurazione su router di serie, perché controlli il software del server e non sei limitato ai protocolli che il produttore del router espone nel suo pannello di amministrazione.
Se scegli il percorso VPS, i criteri d'acquisto sono semplici: scegli una regione vicina, abbastanza CPU per la cifratura, un IP dedicato e un provider che ti dia accesso root senza nasconderti i dettagli di rete. Il VPS Linux di Cloudzy è un'opzione per questo, e il marketplace ha distribuzioni one-click di WireGuard e OpenVPN Access Server se vuoi saltare la configurazione manuale del server.
Domande frequenti
Mi serve un router speciale per usare una VPN?
No. Non ti serve un router speciale se il tuo router attuale supporta già la modalità client VPN. Molti modelli recenti di ASUS e GL.iNET supportano WireGuard o OpenVPN nel firmware di serie, ma il supporto dipende dal modello esatto e dalla versione del firmware. Se il tuo router non supporta nativamente una VPN, puoi installare un firmware personalizzato come OpenWrt oppure eseguire la VPN su un dispositivo separato, come un VPS, un Raspberry Pi o un piccolo server Linux, attraverso cui il router instrada.
Una VPN router rallenterà la mia connessione internet?
Sì, un po'. È la CPU del router a fare il lavoro di cifratura, e le CPU dei router consumer sono più lente delle CPU nel tuo telefono o laptop. L'entità del rallentamento dipende dal chip del router, dal protocollo (WireGuard è più leggero di OpenVPN) e dal fatto che il router abbia o meno accelerazione hardware. Un router moderno che esegue WireGuard di solito perde una piccola frazione del throughput WAN. Un router più vecchio che esegue OpenVPN può perderne molto di più.
Qual è la differenza tra un VPN router e un'app VPN sul mio dispositivo?
Un VPN router mette il tunnel a livello di rete, così ogni dispositivo connesso (telefono, laptop, smart TV, console, IoT) usa la VPN automaticamente senza installare nulla. Un'app VPN mette il tunnel su un singolo dispositivo e protegge solo quel dispositivo, ma consente un controllo più fine: instradamento per singola app, cambio server facile ed esclusione di app specifiche. Il compromesso è copertura su tutta la rete contro flessibilità per singolo dispositivo.
Quale protocollo VPN dovrei usare sul mio router, WireGuard o OpenVPN?
WireGuard, in quasi ogni caso. Il codebase è più piccolo, la crittografia è moderna e il costo di elaborazione per pacchetto è abbastanza basso da far sì che le CPU dei router consumer lo gestiscano bene. OpenVPN resta una scelta ragionevole se hai già una distribuzione OpenVPN con certificati emessi, o se hai un requisito di compatibilità specifico che WireGuard non soddisfa ancora.
Posso usare un VPS invece di un VPN router hardware?
Sì. Installa WireGuard o OpenVPN su un VPS Linux, poi punta un router OpenWrt o DD-WRT verso di esso come tunnel a monte, oppure connetti i singoli dispositivi direttamente al VPS. Questo approccio ti dà scelta giurisdizionale sull'uscita, controllo sul demone VPN e sui suoi log a livello di applicazione, e più margine di compute della maggior parte delle configurazioni su router consumer. Il compromesso è che gestisci un server, comprese la sua manutenzione e il suo monitoraggio.
