Come configurare una VPN sul tuo router con OpenVPN passo dopo passo

  • Vantaggi, svantaggi e requisiti chiave per configurare OpenVPN su un router domestico o professionale.
  • Guide pratiche per la configurazione di OpenVPN sui router TP-Link, ASUS e Omada.
  • Consigli sulla crittografia, sicurezza avanzata e risoluzione dei problemi di connessione più comuni.
  • Alternative a OpenVPN e suggerimenti per scegliere la VPN e l'attrezzatura più adatte a ogni scenario.
Daniel Terrasa

14 minuti

Router configurato con server OpenVPN

Configurare una VPN direttamente sul router utilizzando OpenVPN È uno dei modi più potenti e flessibili per proteggere l'intera rete domestica o aziendale senza la seccatura di dover installare app su ogni dispositivo. Se eseguito correttamente, qualsiasi dispositivo connesso alla rete Wi-Fi o via cavo accederà a Internet tramite un tunnel crittografato, come se si trovasse fisicamente su una rete diversa.

Questa guida raccoglie, riorganizza ed espande le informazioni tecniche di produttori come TP-Link, ASUS, Omada e la documentazione ufficiale di OpenVPN in modo da avere tutto ciò di cui hai bisogno in un unico articolo: di cosa si tratta OpenVPNCosa si guadagna e si perde utilizzandolo, come configurarlo su router e server, come connettersi da PC e dispositivi mobili e come risolvere gli errori più comuni.

Cos'è OpenVPN e perché utilizzarlo sul router?

OpenVPN è un software VPN open source Crea un "tunnel" crittografato tra un client (il tuo laptop, il tuo cellulare, ecc.) e un server (il tuo router, un server Linux, un NAS, ecc.). Funziona tramite SSL/TLS, consentendo l'uso di certificati digitali, chiavi, nomi utente e password e un'ampia gamma di algoritmi di crittografia moderni.

Uno dei suoi grandi vantaggi rispetto ad altri protocolli come IPsec è che è più facile da configurareInoltre, è disponibile praticamente su qualsiasi sistema operativo (Windows, macOS, GNU/Linux, Android, iOS, router, firewall, NAS…).

Quando installi e attivi OpenVPN sul router, il router stesso funge da server VPN. La tua rete locale diventa il "lato sicuro" e i dispositivi remoti (client VPN) si connettono dall'esterno della tua casa o del tuo ufficio tramite Internet, sempre crittografato. Il router funge da gateway tra la VPN e la tua LAN.

Il risultato è che puoi navigare in sicurezza dalle reti WiFi pubblicheAccedi alle tue risorse interne (NAS, stampanti, telecamere IP, server SMB/FTP...) come se fossi a casa e, a seconda di come imposti la configurazione, nascondi il tuo vero IP o aggira i blocchi geografici.

openvpn

Vantaggi e svantaggi dell'utilizzo di una VPN e OpenVPN

L'impostazione di una VPN sul router con OpenVPN ha molti vantaggi praticiMa ci sono anche alcuni svantaggi di cui dovresti essere a conoscenza prima di iniziare, in modo da poter scegliere l'attrezzatura, il provider Internet e il metodo di installazione giusti. Ecco l'elenco:

  • Possibilità di modificare o nascondere il tuo indirizzo IP.
  • Crittografare il traffico per evitare di essere spiati (particolarmente utile sulle reti Wi-Fi aperte).
  • Accesso ai contenuti limitato in base al Paese.
  • Naviga con un grado di anonimato molto maggiore.

Nella sezione privacy, La VPN impedisce a chiunque di vedere facilmente. I siti web che visiti e le posizioni da cui ti connetti non vengono tracciati, sebbene il tuo provider di servizi Internet abbia sempre una certa visibilità. Ciononostante, è estremamente difficile tracciarti tramite sniffer, punti di accesso non protetti o reti condivise.

In cambio La crittografia e il routing tramite il server VPN consumano risorse. Tendono anche a ridurre la velocità e la larghezza di banda disponibile, soprattutto se il router non è potente o si utilizzano servizi gratuiti. Inoltre, un buon programma antivirus è comunque essenziale e bisogna fare attenzione quando si scaricano software, perché una VPN non protegge dai malware.

Loro punti di forza Sono sicurezza, stabilità, un'ampia gamma di personalizzazione (livello 2 o 3, tunnel TUN o TAP, IP dinamico senza problemi, compatibilità NAT...) e un ottimo controllo sulle regole del firewall e sugli script di avvio, ma richiede una buona comprensione della sua configurazione, soprattutto se si intende personalizzare algoritmi e certificati.

Prerequisiti e considerazioni importanti (CG-NAT, IP pubblico e DNS dinamico)

Prima ancora di attivare OpenVPN sul router, è necessario verificare diverse cose. punti chiave:

  • Se il tuo router supporta un server OpenVPN.
  • Assicurati che la tua connessione Internet abbia un indirizzo IP pubblico.
  • Se hai bisogno di utilizzare DNS dinamico.

Molti router di fascia media e alta di TP-Link, ASUS o Omada hanno già un server OpenVPN integrato, ma non tutti i modelli lo includono, né è disponibile in tutte le versioni del firmware. È consigliabile... Controlla le specifiche del tuo modello e, se necessario, aggiornare il firmware all'ultima versione offerta dal produttore.

Il requisito più critico è avere un indirizzo IP pubblico sulla WAN del routerSe il tuo ISP utilizza CG-NAT e ti fornisce un indirizzo IP privato condiviso (comune con le connessioni 4G/5G o con alcuni ISP), non potrai inoltrare le porte da Internet al tuo router, quindi la VPN non sarà accessibile dall'esterno. In tal caso, dovrai richiedere un indirizzo IP statico o pubblico al tuo ISP.

Per poter localizzare il router tramite il nome e non tramite l'indirizzo IP numerico, è molto pratico attivare un servizio DNS dinamico sul router stesso (NO-IP, DynDNS, il servizio del produttore, ecc.). In questo modo puoi connetterti a mydomain.no-ip.org invece di memorizzare il tuo indirizzo IP pubblico, che può cambiare.

Inoltre, Si consiglia di sincronizzare correttamente l'ora di sistema del router con InternetQuesto perché i certificati digitali e le funzioni TLS dipendono da date e orari corretti. Una discrepanza può causare errori insoliti nella convalida del certificato.

openvpn

Come funziona OpenVPN a livello tecnico e quali modalità offre (TUN/TAP, UDP/TCP)

OpenVPN può funzionare in modalità TUN o TAPe utilizzando UDP o TCP come protocollo di trasporto. Ogni scelta influisce sulle prestazioni, sulla compatibilità e sul tipo di rete creata tra client e server.

  • La modalità TUN emula un'interfaccia punto-punto Funziona esclusivamente con traffico IP. È ideale per creare una nuova subnet virtuale (ad esempio, 10.8.0.0/24) in cui si trovano i client VPN, separata dalla LAN fisica. È la modalità più comune per l'accesso remoto e solitamente offre prestazioni migliori.
  • La modalità TAP simula un'interfaccia Ethernet di livello 2Ciò comporta l'incapsulamento diretto dei frame Ethernet. Ciò consente ai dispositivi remoti di trovarsi sulla stessa subnet della LAN, il che è utile quando si desidera che i client VPN appaiano "collegati" allo switch locale, sebbene possa causare problemi se gli intervalli di rete si sovrappongono e sia generalmente meno efficiente.

Per quanto riguarda il protocollo, Si consiglia UDP rispetto a TCP Per il tunnel VPN, il protocollo TCP è preferibile perché evita ritrasmissioni interne non necessarie e resiste meglio alla perdita di pacchetti e agli attacchi denial-of-service. Anche il protocollo TCP è possibile, ma introduce un overhead maggiore e duplica i controlli di sessione.

In pratica, la maggior parte delle configurazioni consigliate Utilizzano TUN su UDP, con una subnet virtuale dedicata per la VPN e percorsi specifici per accedere alla LAN o per forzare tutto il traffico Internet attraverso il tunnel.

Crittografia, certificati e sicurezza avanzata in OpenVPN

Uno dei punti di forza di OpenVPN è che consente di scegliere con notevole precisione gli algoritmi di crittografia simmetrica, asimmetrica e hash, nonché la versione TLS e varie misure aggiuntive contro gli attacchi denial-of-service.

Per infrastruttura a chiave pubblica (PKI)È comune utilizzare certificati basati su curve ellittiche (EC) al posto del classico RSA. Ad esempio, Easy-RSA 3 può essere configurato per generare la CA, il certificato server e i certificati client utilizzando la curva secp521r1 e firmarli con SHA512, ottenendo chiavi altamente sicure e relativamente leggere.

Nel canale di controllo (negoziazione TLS)OpenVPN supporta almeno TLS 1.2 e, nelle versioni più recenti, TLS 1.3. Si consigliano suite robuste con Perfect Forward Secrecy, come TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384 o le più recenti TLS_AES_256_GCM_SHA384 e TLS_CHACHA20_POLY1305_SHA256 per TLS 1.3, verificando sempre con openvpn --show-tls cosa supporta la tua installazione.

per canale dati (traffico VPN reale)I cifrari consigliati sono AES-256-GCM o AES-128-GCM, che integrano l'autenticazione (AEAD) ed eliminano la necessità di un hash separato. Se il processore non supporta l'accelerazione AES-NI, il cifrario CHACHA20-POLY1305 offre in genere prestazioni migliori ed è supportato anche da OpenVPN 2.5 in poi.

Un altro importante strato extra è l'uso di una chiave HMAC aggiuntiva Con tls-crypt (o tls-auth nelle versioni precedenti), che protegge la fase iniziale della connessione da flooding delle porte UDP, attacchi SYN e scansioni, viene anche nascosta la chiave pre-condivisa stessa quando si utilizza tls-crypt. Tutti i client devono condividere la stessa chiave se si utilizza la prima versione, mentre con tls-crypt-v2 ogni client può averne una diversa.

openvpn

Creazione PKI con Easy-RSA e organizzazione dei certificati

Se si imposta un server OpenVPN "puro" su GNU/Linux o simileLa prassi usuale è quella di creare i propri certificati con Easy-RSA 3, modificando il file vars per definire se si utilizzerà RSA o EC, l'hash, la curva, la scadenza della CA e dei certificati, ecc.

Dopo aver copiato vars.example in vars e averlo modificato, puoi scegliere la modalità cn_only per semplificare i DN, attivare EASYRSA_ALGO ec, selezionare la curva secp521r1, configurare la scadenza (ad esempio, 10 anni per la CA e 1080 giorni per i certificati) e impostare EASYRSA_DIGEST su sha512.

Con il file pronto, inizializzi la PKI con ./easyrsa init-pkiSi crea la CA con ./easyrsa build-ca (con o senza password sulla chiave privata) e da lì si genera una richiesta di certificato per il server e per tutti i client di cui si ha bisogno, firmandoli poi rispettivamente come server o client.

A questo punto è altamente raccomandato organizzare i file in cartelle chiare:

  • Uno per il server (ca.crt, server.crt, server.key, ta.key e, facoltativamente, dh.pem se non si utilizza ECDHE).
  • Uno per ogni client (ca.crt, clientX.crt, clientX.key e ta.key).

In questo modo si evita di confondere chiavi e certificati.

Oltre ai certificati, OpenVPN consente l'utilizzo di autenticazione aggiuntiva tramite nome utente/password, sia contro il sistema stesso, sia contro un server RADIUS o un altro database, rafforzando la sicurezza contro il furto di certificati.

Configurare i client OpenVPN su PC, dispositivi mobili e router

Il passo successivo è configurare i client remotiche possono essere computer Windows o Linux, dispositivi mobili Android/iOS, altri router o anche apparecchiature che si connettono tramite un controller come Omada.

In uno client desktop classicoIl file client.ovpn include direttive quali client, dev tun, proto udp, la linea remota con l'IP pubblico o il dominio del router e la porta scelta, resolv-retry infinite, nobind e il percorso verso ca.crt, il certificato e la chiave del client, oltre a tls-crypt ta.key.

Per una maggiore sicurezza, il client convalida il server Con `remote-cert-tls server`, utilizzare la stessa crittografia e autenticazione del server e, idealmente, replicare le stesse suite TLS supportate. È fondamentale che le crittografie e le curve corrispondano; in caso contrario, l'handshake TLS fallirà.

Su Android puoi usare l'app ufficiale OpenVPN o applicazioni di terze parti più avanzate che supportano le funzionalità più recenti. Di solito, è sufficiente copiare la cartella contenente ca.crt, cliente.crt, cliente.key, ta.key e il file .ovpn nella memoria del telefono, quindi importare il profilo dall'app stessa.

Su Windows, il client OpenVPN Community Di solito, il programma richiede di copiare il file .ovpn e i certificati in C:\Programmi\OpenVPN\config (o nel percorso specificato durante l'installazione). Quindi, fare clic con il pulsante destro del mouse sull'icona di OpenVPN nella barra delle applicazioni, selezionare il profilo e connettersi.

estensore di collegamento tp

Configurare OpenVPN sui router TP-Link

Diversi router TP-Link di nuova generazione sono dotati di un server OpenVPN integrato nella sua interfaccia web avanzata, che semplifica notevolmente le cose perché genera automaticamente i certificati e il file .ovpn per i client.

In uno scenario semplice con un singolo router sulla reteDi solito la procedura è la seguente: accedi all'interfaccia web, vai su Avanzate > Server VPN > OpenVPN, seleziona Abilita server VPN e, se è la prima volta, clicca su Genera per creare il certificato interno.

Poi si fa la scelta tipo di servizio (UDP o TCP), la porta di servizio è definita tra 1024 e 65535, vengono configurate la subnet e la maschera VPN e viene scelto il tipo di accesso client: solo rete domestica (solo LAN 192.168.xx) o Internet e rete domestica (tutto il traffico Internet passa attraverso la VPN).

dopo salvare la configurazione e generare/aggiornare i certificatiFai clic su "Esporta" per scaricare il file di configurazione OpenVPN che i client utilizzeranno. Quindi, installa semplicemente il client OpenVPN sul tuo PC o dispositivo mobile, copia il file esportato nella cartella config e connettiti.

Quando ci sono due o più router nella topologia domestica (ad esempio un router ISP e un router TP-Link dietro di esso), oltre a configurare OpenVPN sul secondo router dovrai creare un port forwarding (server virtuale) sul primo, puntando la porta esterna all'IP LAN del secondo e la stessa porta interna che utilizza OpenVPN.

Configurare OpenVPN sui router ASUS

I Router ASUS con firmware ASUSWRT Includono anche un server OpenVPN con un'interfaccia grafica piuttosto intuitiva, anche se le schermate cambiano leggermente tra le versioni del firmware precedenti e successive alla 3.0.0.4.388.xxxx.

Il processo inizia accesso alla GUI del router Da http://www.asusrouter.com o dal tuo IP LAN, accedi con il nome utente e la password dell'amministratore e vai su VPN > Server VPN per attivare OpenVPN.

Nelle impostazioni generali la porta del server è definita (ad esempio, 2000 o un valore compreso tra 1024 e 65535), la lunghezza predefinita della crittografia RSA e, ancora, se i client potranno accedere solo alla rete locale o anche a Internet tramite il router.

Una volta che tutto è stato applicato, Il file client.ovpn viene esportato Dalla sezione del server OpenVPN. Quel file include già i certificati, le chiavi e i parametri necessari. Se in seguito si modificano le chiavi o i certificati, sarà necessario riesportarli e distribuirli ai client.

Nella sezione Dettagli VPN > Impostazioni avanzate È possibile modificare manualmente chiavi e certificati, regolare parametri quali la versione TLS o gli algoritmi e adattare la configurazione ad ambienti più esigenti senza intervenire sul firmware.

Configurare OpenVPN su Omada (TP-Link) come server e creare utenti

In ambienti gestiti da controller Omada È possibile definire policy VPN di tipo OpenVPN Server per l'accesso client-sito, soluzione ideale quando si desidera centralizzare la gestione in un unico pannello.

Dal controller accedi Configurazione> VPNFai clic su Aggiungi per creare una nuova policy e specifica un nome (ad esempio "test"), impostalo su Abilitato, scegli Client per Scopo del sito e Tipo di VPN: Server VPN - OpenVPN.

In quella stessa politica Decidi tu se usare un tunnel diviso o completoÈ possibile scegliere tra Split Tunnel, in modo che solo il traffico verso la rete interna passi attraverso la VPN, o Full Tunnel, in modo che tutto il traffico Internet passi anche attraverso il server. È inoltre possibile selezionare il protocollo (TCP/UDP), la porta di servizio (predefinita 1194), la modalità di autenticazione (locale), il tipo di rete locale e l'intervallo di indirizzi IP da assegnare ai client.

Dopo Puoi creare utenti VPN in Impostazioni > VPN > UtentiCiò comporta l'assegnazione di un nome utente e una password, la selezione del protocollo OpenVPN e il collegamento dell'utente al server VPN appena creato. Ogni utente avrà quindi le proprie credenziali di base.

Infine, il file .ovpn viene esportato dall'elenco delle policy.Copia il file sul client (PC, laptop, ecc.), installa il software OpenVPN Community, posiziona il file nella cartella config e connettiti. Puoi controllare lo stato sul controller in Insight > Stato VPN.

Aggiornamenti recenti di OpenVPN e alternative disponibili

OpenVPN continua ad evolversi con ogni versioneMiglioramenti in termini di sicurezza, prestazioni e usabilità. Le modifiche recenti includono tls-crypt-v2 (per assegnare chiavi specifiche al client e mitigare ulteriormente gli attacchi DoS), il supporto per CHACHA20-POLY1305 e una migliore negoziazione dei cifrari di dati utilizzando cifrari di dati.

Allo stesso tempo, Il supporto per i cifrari obsoleti è stato ritirato come BF-CBC nelle configurazioni predefinite, spingendo gli amministratori a utilizzare AES-GCM o CHACHA20, che sono molto più sicuri e veloci nella pratica.

Nelle aziende è comune anche combina OpenVPN con soluzioni cloud come Azure VPN Gateway o con firewall che integrano IPsec e altri protocolli per connessioni da sito a sito, mentre negli ambienti domestici un router ben configurato e compatibile con OpenVPN solitamente fornisce tutto il necessario.

Con tutto visto, Configura una VPN sul tuo router utilizzando OpenVPN Si passa dall'essere qualcosa di misterioso a un progetto totalmente gestibile se si soddisfano i requisiti di base (IP pubblico, router compatibile, un po' di pazienza) e si segue una struttura chiara: preparare i certificati o utilizzare quelli generati dal router, attivare e regolare il server, esportare la configurazione per i client e testare con calma, correggendo gli errori tipici; in cambio si ottiene una rete molto più sicura e flessibile, pronta sia per il telelavoro che per proteggere tutti i dispositivi di casa in un colpo solo.