Se hai allestito una piccola postazione tecnologica a casa con un NAS, un server Linux o un computer riciclato pieno di serviziSono certo che anche tu hai riscontrato lo stesso problema: tutto funziona perfettamente quando sei connesso al Wi-Fi, ma appena esci di casa, niente più. Non riesci ad accedere alle tue app, ai file o alle telecamere IP senza impantanarti in problemi di configurazione delle porte, problemi DDNS e rischi per la sicurezza, o dover ricorrere a... VPN consigliate per Android.
Il modo più semplice e sicuro per risolvere questo problema è creare un VPN con WireGuard e connessione da Android (e da qualsiasi altro dispositivo). In questo modo puoi usare la tua rete domestica come se fossi fisicamente lì, anche se il tuo ISP usa CGNAT o hai una topologia di rete un po' complicata. Vediamolo passo dopo passo: da cos'è WireGuard, come configurarlo su Linux (o con Docker e pannelli come EasyPanel/WireGuard Easy) e come ottimizzarlo per accedere alla tua LAN e Attivare la VPN su Android e navigare in sicurezza dal tuo dispositivo mobile.
Cos'è WireGuard e perché è la soluzione ideale per una VPN domestica?
WireGuard è un protocollo VPN moderno, minimalista e molto veloce. che ha completamente cambiato il modo in cui vengono configurate le reti private virtuali. A differenza di tecnologie obsolete come OpenVPN o IPsec, è stata progettata fin dall'inizio per essere semplice da configurare, facile da controllare ed estremamente efficiente.
Il suo codice sorgente è molto piccolo (dell'ordine di qualche migliaio di righeCiò semplifica l'individuazione delle vulnerabilità e il mantenimento degli aggiornamenti. Per la crittografia, utilizza solo algoritmi moderni e consolidati come Curve25519, ChaCha20, Poly1305, BLAKE2s e compagnia. Niente elenchi infiniti di cifrari obsoleti che nessuno dovrebbe più usare.
Inoltre funziona esclusivamente su UDP e può essere integrato nel kernel LinuxLa latenza è quindi bassa, le prestazioni sono ottime e l'utilizzo della CPU è trascurabile. Ciò è particolarmente evidente quando ci si connette da Android tramite 4G/5G o Wi-Fi standard: le riconnessioni sono rapide e il tunnel gestisce i cambiamenti di rete in modo molto efficace.
La configurazione è anche molto più intuitiva: ogni dispositivo ha un coppia di chiavi pubblica/privataGli viene assegnato un indirizzo IP VPN interno e il traffico inviato attraverso il tunnel è definito con la policy IP consentitiCon questo, una porta UDP e altre quattro impostazioni, il sistema è pronto all'uso, senza decine di parametri criptici o file infiniti.
Un altro grande vantaggio è che WireGuard è multipiattaforma: ci sono Client ufficiali per AndroidÈ compatibile con iOS, Windows, macOS e Linux e può anche essere eseguito su router, container Docker o dispositivi embedded. Su dispositivi mobili, è possibile importare un file .conf o semplicemente scansionare un Codice QR generato sul server e basta
Requisiti di base prima di configurare il server WireGuard
Prima di incollare comandi a raffica, è consigliabile verificare di soddisfare determinati requisiti. Requisiti minimi per un server WireGuard accessibile da AndroidQuesto vi risparmierà un sacco di grattacapi.
La cosa più comune è usare un server LinuxPotrebbe trattarsi di un VPS basato su cloud (Ubuntu 22.04 è un'opzione molto comoda) o di un computer domestico (Raspberry Pi, miniPC, NAS con supporto, ecc.). Qualsiasi distribuzione moderna con supporto WireGuard funzionerà, ma Ubuntu/Debian offrono più documentazione ed esempi.
Hai bisogno di un utente con permessi amministrativi (utente root o con privilegi sudo) perché installerai pacchetti, modificherai le impostazioni di rete, abiliterai l'inoltro IP e probabilmente modificherai le regole del firewall. È inoltre fondamentale avere accesso SSH al server e sapere, come minimo, come connettersi dal proprio computer.
Dal lato client, utilizzerai principalmente il tuo Smartphone Android con l'app ufficiale WireGuardSebbene lo stesso schema di configurazione funzioni per Windows, macOS, Linux o iOS, il file di configurazione cambia poco tra le diverse piattaforme, quindi quanto apprenderai qui sarà utile per tutte.
Il grande nemico: CGNAT e il suo impatto sulla tua VPN domestica.
Uno dei punti più importanti, soprattutto se il server si trova a casa, è sapere se il tuo provider ti mette dietro una rete. CGNAT (NAT di livello operatore)In base a CGNAT, condividi un indirizzo IP pubblico con altri client e Non è possibile aprire le porte verso la rete domestica.il che rende estremamente difficile esporre un server VPN sulla propria connessione domestica.
Rilevarlo è semplice: prima di tutto, scrivi il tuo IP pubblico Da un sito web come “whatismyip.” nel tuo browser. Quindi accedi al pannello di controllo del router (di solito a 192.168.1.1 o 192.168.0.1) e cerca nella sezione WAN o Internet l'indirizzo IP che il router pensa di avere. Se quell'indirizzo IP inizia con 10.xxx o è compreso nell'intervallo 100.64.0.0 – 100.127.255.255 E se le informazioni non corrispondono a quelle presenti sui siti web, significa che sei sotto la giurisdizione del CGNAT. Un'altra opzione diretta è chiamare l'operatore e chiedere.
Con CGNAT, il router non riceve un indirizzo IP pubblico diretto, quindi Non è possibile effettuare il port forwarding classicoAlcune compagnie ti permettono di rinunciare al CGNAT pagando un supplemento o attivando un'opzione, altre ti obbligano a cambiare piano tariffario e a volte il prezzo sale alle stelle. Se non vuoi affrontare tutto questo, la soluzione più intelligente è passare a un... VPS come ponteIl tuo server domestico crea un tunnel WireGuard verso il VPS e tu ti connetti al VPS da Android per raggiungere la tua rete LAN domestica.
Preparazione del server Linux: aggiornamento e installazione di WireGuard
Su un server con Ubuntu 22.04 (o simile), la prima cosa da fare è pacchetti di aggiornamento per evitare di ereditare vulnerabilità o versioni obsolete:
apt update && apt upgrade -y
Quindi installa WireGuard dai repository ufficiali con:
apt install -y wireguard
Questo pacchetto include gli strumenti wg e wg-quick e carica il modulo del kernel necessario. Se si desidera forzare il caricamento manuale in un ambiente un po' insolito, è possibile utilizzare:
modprobe wireguard
Struttura di generazione delle chiavi e configurazione del server
Il nucleo di WireGuard è il sistema di chiavi pubbliche e privateNormalmente, il lavoro viene svolto nella directory standard. /etc/wireguard/dove verranno archiviate le chiavi e i file di configurazione.
Spostati in quella directory e rafforza i permessi predefiniti prima di creare qualsiasi elemento:
cd /etc/wireguard/
umask 077
Ciò garantisce che il I nuovi file potrebbero non essere leggibili da altri utentiQuesto è fondamentale durante la generazione delle chiavi private. Genera la coppia di chiavi del server, ad esempio:
wg genkey > privatekey
wg pubkey < privatekey > publickey
La chiava privata Deve rimanere sempre sul server e non lasciarlo mai; chiave pubblica Sì, puoi condividerlo con i clienti. Inoltre, evita applicazioni di terze parti che potrebbero compromettere i segreti; consulta articoli su [argomento mancante]. applicazioni VPN non sicure Se hai dubbi sui clienti.
chmod 600 privatekey
Se desideri visualizzare i tasti sullo schermo per copiarli in seguito, puoi utilizzare:
tail privatekey publickey
Crea e modifica il file wg0.conf del server.
WireGuard organizza i suoi tunnel in interfacce virtuali Chiamate per convenzione wg0, wg1, ecc. Ogni interfaccia ha il proprio file di configurazione in /etc/wireguard/Abbiamo intenzione di creare wg0.conf come interfaccia principale.
Se ti piace Nano e non lo hai installato, puoi aggiungerlo con:
apt install -y nano
Apri il file di configurazione:
nano /etc/wireguard/wg0.conf
Prima di scrivere qualsiasi cosa, identifica il nome dell'interfaccia di rete che si connette a Internet (quella con l'indirizzo IP pubblico o l'indirizzo IP che usi per connetterti tramite SSH). Puoi trovarlo usando:
ip a
In molti VPS è chiamato eth0, ens3, enp0s3 o qualcosa del genere. Ti servirà per le regole NAT. Un esempio di blocco completo potrebbe essere:
Address = 10.30.0.1/24
PrivateKey = <clave_privada_servidor>
ListenPort = 51820
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
Qui stai fornendo al server l'indirizzo IP 10.30.0.1 all'interno della rete VPN, gli dici di mettersi in ascolto sulla porta UDP 51820 e definisci le regole iptables che si applicano quando l'interfaccia wg0 si attiva (Affiggere) e vengono rimossi quando si scende (PostGiù). Fare attenzione durante la sostituzione eth0 utilizzando il nome effettivo della tua interfaccia di output.
In Nano, risparmi con Ctrl + A e chiudi con Ctrl + XQuesto file wg0.conf sarà il nucleo su cui aggiungerete i diversi client (peer).
Abilita l'inoltro IP e avvia il servizio WireGuard.
Affinché i tuoi client possano accedere a Internet o alla LAN dietro il server VPN, il sistema deve consentire Inoltro di pacchetti IPv4 e IPv6Questo viene controllato tramite sysctl.
Un modo rapido è aggiungere le righe corrispondenti a /etc/sysctl.conf o a un file in /etc/sysctl.d/ e ricaricare:
echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
echo "net.ipv6.conf.all.forwarding=1" >> /etc/sysctl.conf
sysctl -p
Se quelle righe esistevano già ma erano commentate (con #), è sufficiente rimuovere il #salva e riavvia sysctl -pSenza questo passaggio, il tunnel sarà attivo ma i client perderanno l'accesso alla LAN o a Internet.
Ora puoi sollevare WireGuard con l'aiuto di wg-veloce e systemd:
systemctl start wg-quick@wg0
Per avviarlo automaticamente con il sistema:
systemctl enable wg-quick@wg0
Verifica che tutto sia verde con:
systemctl status wg-quick@wg0
Per visualizzare i dettagli in tempo reale dell'interfaccia, delle chiavi, dei peer e del traffico, utilizzare:
wg
Aggiungi client: PC, dispositivi mobili Android e altri dispositivi
Ogni dispositivo che si connette alla tua VPN è definito come un peer con la propria chiave e IP del tunnelÈ possibile generare le chiavi direttamente sul server (soluzione più comoda) oppure su ciascun client (soluzione più sicura, poiché la chiave privata non lascia mai il dispositivo).
Per un computer desktop potresti fare, ad esempio, in /etc/wireguard/:
wg genkey > mypc_privatekey
wg pubkey < mypc_privatekey > mypc_publickey
E per il tuo cellulare Android:
wg genkey > myphone_privatekey
wg pubkey < myphone_privatekey > myphone_publickey
Verifica i file con:
ls
E mostra le chiavi pubbliche:
tail mypc_publickey myphone_publickey
Quelle chiavi pubbliche sono quelle che inserirai wg0.conf all'interno dei blocchi Riapri il file del server:
nano /etc/wireguard/wg0.conf
E aggiunge, ad esempio:
PublicKey = <clave_publica_mypc>
AllowedIPs = 10.30.0.2/32
Chiave pubblica =
IP consentiti = 10.30.0.3/32
Così facendo si riserva l'indirizzo IP 10.30.0.2 per PC e 10.30.0.3 per dispositivi mobili AndroidLa dicitura /32 indica che si tratta di un indirizzo IP individuale. Ogni peer utilizza il proprio indirizzo IP univoco all'interno della sottorete VPN.
Salva e ricarica il servizio per applicare le modifiche:
systemctl restart wg-quick@wg0
Creare i file di configurazione del client
Ora è il momento di preparare il file .conf che i client utilizzerannoQuesti includono la chiave privata, l'indirizzo IP interno, il DNS e i dati del server (chiave pubblica, IP/dominio e porta).
Per il PC puoi creare il mio pc.conf nella directory /etc/wireguard/ (o dove preferisci):
nano mypc.conf
Tipo di contenuto:
PrivateKey = <clave_privada_mypc>
Address = 10.30.0.2/24
DNS = 1.1.1.1
Chiave pubblica =
Punto finale = :51820
IP consentiti = 0.0.0.0/0
Keepalive persistente = 20
Nel primo blocco, si definisce l'"interfaccia" locale del client: la sua chiave privata, il suo indirizzo IP VPN e il DNS che utilizzerà. Nel secondo blocco, si descrive il server: la sua chiave pubblica, l'indirizzo e la porta. La riga IP consentiti = 0.0.0.0/0 marche Tutto il traffico dei clienti passa attraverso la VPN (tunnel completo). Se si desidera accedere solo alla LAN remota, è possibile limitarlo a 10.30.0.0/24 e/o 192.168.x.0/24, a seconda della rete.
PersistenteKeepalive Si consiglia vivamente di effettuare la connessione ogni 20-25 secondi per i client dietro NAT o reti mobili, in quanto ciò impedisce che il tunnel risulti inattivo e che il firewall chiuda la sessione.
configurazione specifica del client Android
Su Android, il processo è lo stesso. Il telefono ha bisogno del suo chiave privata, l'indirizzo IP del tuo tunnel e i dati del server. Puoi riutilizzare le chiavi generate sul server oppure generarle direttamente nell'app.
Seguendo l'esempio, hai creato la mia chiave privata del telefono e la mia chiave pubblica del telefonoIl file myphone.conf del tuo telefono è mancante:
nano myphone.conf
Qualcosa del genere:
PrivateKey = <clave_privada_myphone>
Address = 10.30.0.3/24
DNS = 1.1.1.1
Chiave pubblica =
Punto finale = :51820
IP consentiti = 0.0.0.0/0
Keepalive persistente = 20
La parte difficile qui è Come inviare in modo sicuro quel file al telefono cellulareIn un ambiente di laboratorio, è possibile caricarlo su un server web e scaricarlo, ma in produzione è meglio evitare di inviarlo via e-mail o di archiviarlo su servizi non crittografati.
Il modo più pulito è solitamente quello di usare qrencode per generare un codice QR che l'app WireGuard su Android possa scansionare:
apt install -y qrencode
qrencode -t ansiutf8 -r myphone.conf
Sul terminale vedrai un codice QR in caratteri ASCII. Sul tuo dispositivo mobile, apri l'app WireGuard, seleziona "Scansiona il codice QR"(Scansiona il codice QR) e inquadra lo schermo. In questo modo non avrai bisogno di condividere il file .conf tramite canali poco affidabili."
Accesso alla rete LAN domestica, al DNS e ai nomi locali.
Oltre alla costruzione del tunnel, cosa c'è di interessante in un VPN con WireGuard su Android per una connessione domestica sicura Si tratta di poter accedere a tutti i dispositivi di casa come se fossi lì: NAS, telecamere IP, router, server multimediali, ecc., idealmente utilizzando nomi di dominio locali anziché indirizzi IP.
Molti router che integrano un server WireGuard o un DNS interno hanno una sezione come RETE → DNS → Modifica host dove puoi creare voci come 192.168.1.50 nas-casa.localSe imposti il DNS dei tuoi client VPN verso il router o il server che risolve questi nomi, sarai in grado di accedere ai tuoi dispositivi tramite nome host.
Alcuni firmware dei router con WireGuard includono caselle di controllo come "Consenti l'accesso remoto alla LAN""Sottorete LAN di accesso remoto" o simile. È necessario abilitare queste opzioni affinché i client remoti possano raggiungere la sottorete locale (192.168.xx) oltre il router stesso.
Negli scenari in cui il server WireGuard viene eseguito incorporato nel router, spesso consente esporta profili .conf preconfigurati per dispositivi mobili o altri router client. Questi profili di solito includono l'indirizzo IP del tunnel, il DNS corretto (normalmente l'indirizzo IP del router sulla rete VPN) e una configurazione appropriata di AllowedIPs.
Verifica, risoluzione dei problemi e sicurezza
Una volta che la configurazione è stata importata in Android e il tunnel è stato attivato, la prima cosa da fare è verificare che La stretta di mano avviene correttamente.L'app WireGuard visualizza lo stato, i byte inviati/ricevuti e l'orario dell'ultimo handshake.
Sul server, eseguire:
wg
Lì vedrai, per ogni peer, la sua chiave pubblica, l'indirizzo IP remoto da cui si connette, l'ultimo handshake e il traffico scambiato. Se il campo "Ultimo handshake" è vuoto o molto vecchio, il client non si connette o qualcosa lo sta bloccando.
Se non c'è connessione, controlla che La porta UDP (51820 o quella che utilizzi) è aperta sul firewall del server (UFW, iptables, nftables) e su eventuali router intermedi. Se il server si trova dietro un router domestico, configura il Inoltro della porta UDP da quella porta all'indirizzo IP interno del server.Il problema potrebbe interessare app specifiche; consulta la nostra guida su Cosa fare se le app smettono di funzionare con la VPN abilitata.
Se il tunnel si apre ma non hai internet mobile, controlla l'inoltro dei pacchetti (net.ipv4.ip_forward e facoltativamente net.ipv6.conf.all.forwarding) è attivo e che le regole NAT puntano all'interfaccia di uscita corretta (eth0, ens3, ecc.).
I problemi DNS vengono solitamente rilevati quando è possibile eseguire il ping di un indirizzo IP specifico (ad esempio, 1.1.1.1) ma non è possibile risolvere i domini. In tal caso, controllare la riga DNS = Nel file .conf del client: è possibile utilizzare un DNS pubblico (8.8.8.8, 1.1.1.1) oppure l'indirizzo IP del tunnel del server se quest'ultimo funge da resolver interno.
In termini di sicurezza, oltre alla crittografia di WireGuard, ci sono una serie di buone pratiche essenziali:
- Proteggi le tue chiavi privateNon copiarli su siti non sicuri né condividerli con nessuno.
- Limita gli IP consentiti per peer: concede a ciascun cliente l'accesso solo alle reti di cui ha bisogno, senza libertà assoluta.
- Utilizzare porte UDP non banaliLa sostituzione del valore 51820 con un valore superiore riduce il rumore generato dalle scansioni automatiche.
- Mantieni aggiornati il tuo sistema e WireGuard.: patch ogni giorno.
- Filtra l'accesso alla porta WireGuard nel firewall per limitare chi può tentare di connettersi (in base all'indirizzo IP di origine quando ha senso).
Se disponi di CGNAT o desideri qualcosa di più avanzato: crea un tunnel attraverso un VPS
Se il tuo operatore ti ha assegnato al protocollo CGNAT o se semplicemente desideri separare il livello di accesso pubblico della tua abitazione, puoi configurare una soluzione un po' più elaborata ma molto efficace: Utilizza un VPS come punto centrale e il tuo server domestico come client.Quindi ti connetti al VPS da Android e, tramite esso, accedi alla tua LAN.
Lo schema di base è questo: nel cloud si imposta un Server WireGuard (ad esempio con Docker e uno stack come linuxserver/wireguard o un repository precompilato), si abilita l'inoltro e il NAT e a casa si ha un Raspberry Pi o PC sempre acceso che si connette a quel VPS come peer. Il VPS ha un IP pubblico e non è influenzato da CGNAT, quindi puoi aprire le porte senza alcun problema.
Un tipico flusso di lavoro con Docker potrebbe essere:
- Sul VPS installi Docker e Docker Compose, cloni un repository di configurazione di WireGuard e Si solleva il container con `docker-compose up -d`.
- Il container genera automaticamente le chiavi del server e quelle di diversi peer (peer1, peer2…), salvando i relativi file .conf in una cartella di configurazione.
- Si regola il file del server per includere il tuo sottorete domestica (ad esempio 192.168.1.0/24) in AllowedIPs del peer che il tuo Raspberry utilizzerà e configura iptables o regole equivalenti sull'host per instradare il traffico tra la VPN e la tua rete domestica.
- Sul Raspberry Pi, clonare lo stesso repository (o uno già pronto), creare un file wg0.conf con i dati generati per peer1, abilitare il NAT locale (per poter inviare il traffico alla LAN) e avviare il client WireGuard in Docker o in modo nativo.
Da lì, qualsiasi altro dispositivo (incluso il tuo) Android con l'app WireGuardÈ possibile utilizzare uno dei peer aggiuntivi del VPS (peer2, peer3…) per connettersi. In pratica, la connessione avviene sempre tramite l'indirizzo IP del VPS, ma si finisce per raggiungere i servizi della propria rete domestica, anche attraverso CGNAT.
WireGuard con pannelli web: WireGuard Easy, EasyPanel e azienda
Se tutto questo ti sembra troppo complicato, esistono soluzioni molto comode che ti permettono di configurare una console. Pannello web per gestire WireGuard con un solo clicAd esempio, su un server con EasyPanel è possibile distribuire un'app come WireGuard Easy Utilizza un modello e dimenticati di scrivere i file a mano.
Il flusso di lavoro con questi pannelli è solitamente il seguente:
- Accedete al pannello (EasyPanel o altro) con le vostre credenziali utente.
- Si installa il modello WireGuard Easydefinendo parametri quali dominio/IP pubblico (WG_HOST), porta UDP, sottorete VPN e DNS.
- Il sistema avvia un container che espone un'interfaccia web protetta da password dove puoi vedere il Elenco dei peer, statistiche e opzioni di configurazione.
- Per aggiungere un client, è sufficiente compilare un modulo con il suo nome; il pannello genera le chiavi, assegna loro un indirizzo IP e visualizza il Codice QR pronto per la scansione con Android, oltre a consentirti di scaricare il file .conf.
Ciò è estremamente conveniente negli ambienti in cui più persone utilizzano la VPN (famiglia, team di lavoro, ecc.), perché è possibile Attiva o revoca l'accesso in pochi secondi senza dover fornire spiegazioni tecniche. Inoltre, installando WireGuard Easy su un VPS, si centralizza tutto l'accesso remoto alla rete domestica e ad altre postazioni.
WireGuard su altri sistemi: Windows, macOS, Linux, iOS
Sebbene qui ci concentriamo su Android, WireGuard funziona altrettanto bene con computer desktop e altri dispositivi mobiliIn Windows, ad esempio, si scarica il client ufficiale, lo si installa e si preme "Aggiungi tunnel”, scegliete “Aggiungi tunnel vuoto” o “Importa da file”, e il programma stesso genererà la coppia di chiavi per voi.
Il formato di configurazione è lo stesso: blocco con il tuo Chiave privata, indirizzo e DNSe bloccare con il Chiave pubblica del server, dell'endpoint e degli indirizzi IP consentitiUna volta salvato, è sufficiente premere "Attiva" per avviare l'interfaccia e iniziare il flusso di traffico.
Su iOS il processo è molto simile ad Android: si installa l'app WireGuard dall'App Store, si crea un nuovo tunnel e si può Importa il file .conf o scansiona il codice QR che hai generato con qrencode o da un pannello come WireGuard Easy. Quindi attivi il tunnel con un interruttore e sei già dentro la tua rete domestica.
Su Linux desktop è possibile utilizzare lo strumento da riga di comando stesso (wg-quick up wg0oppure è possibile integrarlo con NetworkManager importando il file .conf dall'interfaccia grafica. Esiste anche un client ufficiale per macOS con un'esperienza molto simile alla versione per Windows.
Alla fine, averlo Lo stesso protocollo e schema di configurazione su tutte le piattaforme Semplifica molto le cose: si replica la logica da un client all'altro cambiando solo le chiavi e l'indirizzo IP del tunnel.
Con questa combinazione—un server Linux o Docker ben configurato, il possibile supporto VPS se si dispone di CGNAT, pannelli web per semplificare la gestione e l'app WireGuard su Android—è possibile configurare un VPN domestica robusta, veloce e sicura che ti permette di accedere alla tua rete domestica, ai tuoi file e servizi e di navigare in modo sicuro sulle reti Wi-Fi pubbliche senza dipendere da terze parti o da soluzioni commerciali poco trasparenti. Condividi queste informazioni in modo che anche altri possano conoscere la nuova funzionalità..