Target: Eliminare l'esposizione diretta dei servizi interni tramite tunnel cifrati punto-punto e reti mesh.
::: danger POLICY DI SICUREZZA: ZERO EXPOSURE
Non utilizzare mai il port-forwarding per servizi sensibili (SSH, RDP, SMB, Database). L'unica porta "aperta" consentita sul router deve essere quella dedicata al servizio VPN o, preferibilmente, nessuna (utilizzando reti mesh).
:::
Esporre un servizio (es. Home Assistant sulla porta 8123) comporta:
La VPN risolve questi problemi creando un'estensione virtuale della tua rete locale su un canale cifrato.
WireGuard è un protocollo moderno, estremamente veloce e con una superficie d'attacco ridottissima (circa 4.000 righe di codice contro le 600.000 di OpenVPN).
Basate su WireGuard, queste tecnologie permettono di collegare dispositivi anche dietro CGNAT (quando non hai un IP pubblico reale) senza aprire porte sul router.
Esempio di configurazione per un "Peer" (il tuo laptop) che si collega al server VPN di casa:
[Interface]
PrivateKey = <Tua_Chiave_Privata_Laptop>
Address = 10.0.0.2/32
DNS = 192.168.1.1 # Punta al tuo Pi-hole / DNS interno
[Peer]
PublicKey = <Chiave_Pubblica_Server_Casa>
Endpoint = casa.tuodominio.it:51820
AllowedIPs = 192.168.1.0/24, 10.0.0.0/24 # Split Tunneling
AllowedIPs = 0.0.0.0/0): Tutto il traffico del tuo dispositivo passa per casa. Utile per la sicurezza su Wi-Fi pubblici sospetti.AllowedIPs = 192.168.1.0/24): Solo il traffico diretto verso la tua rete locale passa per la VPN. Internet "normale" continua a usare la rete in cui ti trovi. Scelta consigliata per le performance.Tags: #CyberSecurity #VPN #WireGuard #Tailscale #RemoteAccess #NetworkSecurity*