/ Navigare nel mondo digitale / VPN Client-to-Site o Site-to-Site: quale architettura serve per collegare tre sedi e 50 smart worker?
Pubblicato il Maggio 15, 2024

Collegare sedi e smart worker non è una scelta tra Client-to-Site e Site-to-Site, ma un problema di orchestrazione strategica che, se mal gestito, genera costi nascosti e rischi di sicurezza.

  • La performance della rete dipende dal protocollo scelto (WireGuard vs OpenVPN) e dalla gestione della saturazione nelle ore di punta.
  • La sicurezza è costantemente minata da errori di configurazione comuni, come lo split tunneling non controllato e i conflitti di subnetting con le reti domestiche.

Raccomandazione: Adottare fin da subito un’architettura ibrida, pianificare un indirizzamento IP enterprise-grade e considerare lo Zero Trust Network Access (ZTNA) come evoluzione naturale per la massima sicurezza e semplicità d’uso.

La sfida di un IT Manager moderno non è più scegliere tra una VPN Site-to-Site per collegare le sedi e una Client-to-Site per gli smart worker. Il vero quesito ingegneristico è come orchestrare un’architettura ibrida che sia performante, sicura e scalabile per uno scenario concreto: tre stabilimenti geograficamente distribuiti e cinquanta collaboratori in remoto. Molti si fermano alla teoria, ma la pratica rivela un campo minato di colli di bottiglia, conflitti di configurazione e vulnerabilità nascoste. Affrontare questa complessità non è solo una necessità tecnica, ma una decisione strategica che impatta direttamente sulla produttività e sulla resilienza dell’intera azienda. Un’azienda manifatturiera di Milano, ad esempio, ha ridotto i costi IT del 35% proprio migrando da costose linee dedicate a una soluzione VPN ibrida ben progettata.

L’approccio corretto non risiede nel trovare un’unica soluzione “magica”, ma nel comprendere i meccanismi di ogni componente e anticiparne le criticità. Dalla scelta del protocollo VPN più performante, come WireGuard, alla gestione proattiva dei certificati per evitare il blocco del lunedì mattina, ogni dettaglio conta. In questo articolo, analizzeremo con un approccio ingegneristico le otto problematiche tecniche cruciali che ogni IT Manager deve risolvere. Non ci limiteremo a descrivere i problemi, ma forniremo soluzioni concrete e architetturali per costruire una rete aziendale unificata, performante e a prova di futuro, trasformando la connettività da un centro di costo a un vantaggio competitivo misurabile.

Questo articolo è strutturato per affrontare, uno per uno, i punti nevralgici della progettazione e della gestione di una rete VPN complessa. Attraverso le seguenti sezioni, delineeremo un percorso logico per ottimizzare la vostra infrastruttura di accesso remoto.

Sommario: Guida all’architettura VPN ibrida per l’azienda moderna

WireGuard vs OpenVPN: perché passare al nuovo protocollo può raddoppiare la velocità di connessione

La scelta del protocollo VPN non è un dettaglio per puristi, ma il fondamento delle performance percepite dall’utente. Mentre OpenVPN è stato lo standard per anni grazie alla sua robustezza, il suo codice (oltre 400.000 righe) e il suo handshake crittografico complesso lo rendono intrinsecamente più lento, specialmente su connessioni con latenza elevata. Al contrario, WireGuard, con le sue sole 4.000 righe di codice, adotta un approccio minimalista che si traduce in un’efficienza radicalmente superiore. L’handshake è quasi istantaneo e la gestione dei pacchetti a livello kernel riduce drasticamente l’overhead sulla CPU del firewall o del server VPN.

Dal punto di vista ingegneristico, il vantaggio è misurabile e non marginale. Per le aziende italiane, che spesso operano su una connettività mista FTTC e FTTH, questo si traduce in benefici tangibili. In particolare, test di benchmark condotti su linee FTTC dimostrano che WireGuard può ridurre la latenza del 52% e aumentare il throughput dell’85% rispetto a una configurazione OpenVPN standard. Per i 50 smart worker, questo significa connessioni più stabili, tempi di caricamento dei file di rete ridotti e un’esperienza di lavoro remoto finalmente fluida.

Confronto visivo delle prestazioni tra WireGuard e OpenVPN su rete italiana

Un’azienda IT romana con 80 dipendenti ha visto un miglioramento concreto migrando a WireGuard: l’utilizzo CPU dei firewall è calato del 65% e la velocità di connessione per gli smart worker nelle cosiddette “aree bianche” del Lazio è aumentata del 40%. La migrazione a WireGuard non è solo un upgrade, ma una decisione strategica per eliminare un collo di bottiglia fondamentale e massimizzare l’investimento sulla connettività aziendale.

Split Tunneling: l’errore di configurazione che espone la tua rete aziendale a internet diretto

Lo split tunneling è una funzionalità apparentemente vantaggiosa: permette di instradare solo il traffico destinato alla rete aziendale attraverso la VPN, lasciando che il resto del traffico (navigazione web, streaming) utilizzi la connessione internet domestica dell’utente. L’obiettivo è ridurre il carico sul gateway VPN e migliorare le performance. Tuttavia, se configurato senza le dovute precauzioni, si trasforma in una backdoor spalancata verso la rete aziendale. Il PC del dipendente diventa un ponte non protetto tra una rete domestica, spesso insicura e condivisa, e il perimetro di sicurezza aziendale.

Un attaccante che compromette la rete Wi-Fi domestica o un dispositivo IoT vulnerabile sulla stessa rete potrebbe usare il PC connesso in split tunneling come trampolino per accedere direttamente alle risorse interne dell’azienda, bypassando completamente il firewall perimetrale. Questo rischio non è teorico. Le policy di sicurezza devono essere chiare: o si disabilita lo split tunneling, forzando tutto il traffico attraverso il tunnel (approccio “full tunnel”), oppure lo si implementa con regole ferree, consentendo l’accesso solo a specifici domini o applicazioni verificate (whitelisting).

L’impatto di una tale vulnerabilità può essere devastante. Ignorare questo rischio di configurazione significa esporre l’azienda a potenziali violazioni dei dati. Basti pensare che, secondo i dati del Garante Privacy italiano, il costo medio di un data breach per una PMI italiana si attesta sui 2,8 milioni di euro, senza contare le possibili sanzioni GDPR che possono raggiungere il 4% del fatturato annuale. La sicurezza non ammette compromessi dettati dalla ricerca di una performance marginalmente migliore.

Perché la VPN cade alle 9:Come creare una rete 5G privata per la tua fabbrica e perché dovresti farlo?

Il classico scenario del lunedì mattina: alle 9:01, l’help desk è inondato di ticket perché “la VPN è lenta” o “la connessione cade”. Questo fenomeno non è casuale, ma è la diretta conseguenza della saturazione della rete di accesso. Le infrastrutture di rete consumer, su cui si appoggiano la maggior parte degli smart worker, non sono progettate per garantire performance stabili durante i picchi di utilizzo. L’aumento esponenziale del traffico dati generato da videoconferenze, download e attività lavorative concentrate nella stessa fascia oraria crea un’asimmetria di performance critica.

Questo problema è particolarmente accentuato nel contesto italiano. Infatti, recenti analisi AGCOM sulla qualità delle reti evidenzia che le infrastrutture consumer subiscono un calo di performance del 65% tra le 9:00 e le 10:00, con picchi che possono raggiungere l’80% nelle grandi aree metropolitane. Per un’azienda, questo si traduce in perdita di produttività e frustrazione per i dipendenti. La soluzione non è potenziare all’infinito il gateway VPN aziendale, ma agire sulla qualità e l’affidabilità della connessione “all’ultimo miglio”.

Per le sedi produttive, come uno stabilimento, la dipendenza da connettività tradizionale (Wi-Fi o cablata) può essere un limite per l’automazione e l’IoT. Una rete 5G privata offre una soluzione radicale. Garantisce latenza ultra-bassa (fino a 1ms), banda larghissima e isolamento completo dalla rete pubblica, eliminando i problemi di congestione e interferenza. Uno stabilimento automotive a Torino, ad esempio, ha implementato una rete 5G privata per i suoi robot e sensori IoT, riducendo la latenza da 50ms (Wi-Fi) a 1ms e ottenendo un aumento della produttività del 22%. Per un IT Manager, valutare una rete 5G privata significa trasformare la connettività da un problema a un abilitatore di innovazione.

Scadenza dei certificati VPN: come evitare che lunedì mattina nessuno riesca a collegarsi

Uno degli incidenti più banali, ma allo stesso tempo più paralizzanti per un’azienda, è la scadenza imprevista di un certificato digitale. Se il certificato del server VPN scade durante il weekend, il lunedì mattina i 50 smart worker e le 3 sedi remote si troveranno nell’impossibilità di collegarsi, bloccando di fatto l’operatività. Questo non è solo un inconveniente tecnico, ma un costo economico diretto e misurabile. È un classico esempio di “debito tecnico di rete”: una mancanza di procedure di monitoraggio e automazione che si trasforma in un’emergenza.

L’impatto finanziario è tutt’altro che trascurabile. Recenti calcoli basati su dati Confindustria mostrano che un’interruzione del servizio VPN di sole 4 ore per un’azienda con 50 dipendenti e 3 sedi può costare in media 18.000€, tra perdita di produttività, mancati ordini e costi di ripristino in emergenza. La gestione dei certificati non può essere lasciata a promemoria manuali o alla memoria di un singolo tecnico.

La soluzione ingegneristica è implementare un sistema di gestione del ciclo di vita dei certificati (Certificate Lifecycle Management). A livello pratico, questo significa:

  • Centralizzare l’inventario di tutti i certificati in uso (server VPN, firewall, web server).
  • Configurare alert automatici che notifichino l’IT manager 90, 60 e 30 giorni prima della scadenza.
  • Automatizzare il processo di rinnovo e deployment tramite protocolli come ACME (Automatic Certificate Management Environment), lo stesso usato da Let’s Encrypt.

Implementare queste procedure trasforma la gestione dei certificati da un’attività reattiva e rischiosa a un processo proattivo e controllato, garantendo la continuità operativa.

Chi è collegato ora? Come rilevare connessioni VPN anomale fuori orario lavorativo

Una volta stabilita una connessione VPN sicura, la domanda successiva per un IT Manager è: “Chi sta usando la rete, e lo sta facendo in modo legittimo?”. L’autenticazione iniziale non è sufficiente. Un account compromesso (ad esempio tramite phishing) può essere usato da un malintenzionato per accedere alla rete in orari o da località geografiche sospette, muovendosi lateralmente per esfiltrare dati. Il monitoraggio non può limitarsi a verificare se la VPN è “su” o “giù”, ma deve analizzare il comportamento degli utenti connessi.

La soluzione è implementare un sistema di User and Entity Behavior Analytics (UEBA), spesso integrato nelle piattaforme SIEM (Security Information and Event Management) moderne. Un sistema UEBA stabilisce una baseline del comportamento normale per ogni utente (orari di connessione tipici, geolocalizzazione, risorse a cui accede) e genera un alert automatico in caso di deviazioni significative. Esempi di anomalie includono:

  • Una connessione alle 3 del mattino dall’account di un impiegato amministrativo.
  • Un utente che si connette dall’Italia e, 10 minuti dopo, da un indirizzo IP in un altro continente.
  • Un accesso a server critici (es. contabilità) da parte di un utente del reparto marketing.

Un’azienda farmaceutica milanese, implementando un sistema UEBA, è riuscita a rilevare tre tentativi di accesso anomali da paesi non autorizzati in soli sei mesi, prevenendo un potenziale furto di proprietà intellettuale del valore stimato di 2 milioni di euro.

Implementare un sistema di alerting efficace, tuttavia, richiede di bilanciare sicurezza e privacy, in piena conformità con il GDPR. È fondamentale definire policy chiare e comunicarle ai dipendenti.

Piano d’azione: configurare un sistema di alert GDPR-compliant

  1. Definire orari di accesso standard per ruolo (es. 7:00-20:00 per dipendenti Italia) e aree geografiche autorizzate.
  2. Configurare geofencing per generare alert automatici su connessioni provenienti da paesi non inclusi nella whitelist aziendale.
  3. Implementare un sistema di alerting basato esclusivamente su anomalie comportamentali, evitando il logging completo dell’attività per rispettare la privacy.
  4. Aggiornare l’informativa privacy e comunicare in modo trasparente ai dipendenti le policy di monitoraggio degli accessi per fini di sicurezza.
  5. Integrare i log della VPN con una soluzione SIEM (come Wazuh o ELK per le PMI) per correlare gli eventi e ridurre i falsi positivi.

Come impostare una linea di backup 4G/5G senza interrompere il lavoro

Per le tre sedi aziendali, la continuità operativa è un imperativo non negoziabile. Un’interruzione della linea in fibra primaria, anche solo per poche ore, può bloccare la produzione, la logistica e la comunicazione tra i reparti. Affidarsi a un unico provider o a un’unica tecnologia di connessione è una scommessa rischiosa. L’impostazione di una linea di backup non è un lusso, ma una componente essenziale della resilienza di rete. Le tecnologie mobili 4G/LTE e, sempre più, 5G, offrono una soluzione di failover ideale: sono economicamente accessibili, veloci da implementare e tecnologicamente indipendenti dall’infrastruttura cablata.

La configurazione moderna di un backup non si limita più a un router che entra in funzione manualmente. Le soluzioni SD-WAN (Software-Defined WAN) permettono di gestire dinamicamente più connessioni (es. Fibra + 5G + FTTC) in modo intelligente. È possibile configurare un failover automatico e istantaneo in caso di caduta della linea primaria, senza alcuna interruzione percepita dagli utenti. Inoltre, si può optare per un bilanciamento attivo del carico, utilizzando la linea 5G per il traffico meno critico (es. navigazione web) e riservando la fibra alle applicazioni business-critical (es. gestionali, VoIP). Un’azienda di logistica di Bologna, grazie a una soluzione SD-WAN, ha ridotto i downtime del 92%, utilizzando attivamente la connessione 5G per il 30% del traffico totale.

Per un IT Manager in Italia, la scelta del fornitore per la linea di backup 5G Business è un passo cruciale. È necessario valutare non solo il costo, ma anche la copertura nell’area industriale specifica, gli SLA (Service Level Agreement) garantiti e la possibilità di avere un IP statico, fondamentale per molte applicazioni aziendali.

Confronto offerte 5G Business Italia 2024
Operatore Copertura 5G Business Costo mensile flat SLA garantito IP statico
TIM Business 85% aree industriali 89€/mese 99.9% Incluso
Vodafone Business 82% aree industriali 79€/mese 99.8% +15€/mese
WindTre Business 78% aree industriali 69€/mese 99.5% 99.5%

L’errore di usare la subnet 192.168.1.x in azienda: perché crea conflitti con le VPN

Questo è uno degli errori più diffusi e sottovalutati nella configurazione delle reti di piccole e medie imprese: l’utilizzo della classe di indirizzi IP predefinita 192.168.1.x. Sebbene possa sembrare una scelta innocua e comoda, si trasforma in un incubo tecnico non appena si implementa una VPN Client-to-Site per gli smart worker. Il motivo è semplice: la stragrande maggioranza dei modem/router domestici utilizza esattamente la stessa subnet per la rete locale.

Quando un dipendente si connette da casa, il suo PC ha due percorsi per raggiungere l’indirizzo 192.168.1.10: il server di file in azienda o la sua stampante di rete domestica? Questo crea un conflitto di routing che, nella migliore delle ipotesi, impedisce l’accesso alle risorse aziendali e, nella peggiore, genera errori di connessione intermittenti e difficilissimi da diagnosticare, inondando l’help desk di richieste di assistenza. La prevalenza di questo problema in Italia è massiccia: un’analisi sui principali ISP italiani rivela che il 67% dei modem domestici utilizza di default le subnet 192.168.1.x o 192.168.0.x, creando di fatto conflitti per oltre la metà degli smart worker.

La soluzione definitiva è adottare un piano di indirizzamento IP enterprise-grade, utilizzando i blocchi di indirizzi privati raccomandati dalla RFC 1918, come la classe 10.0.0.0/8. Questo non solo risolve i conflitti VPN, ma permette anche una segmentazione logica e scalabile della rete. Un esempio di piano per il nostro scenario potrebbe essere:

  • Sede principale: 10.10.0.0/16
  • Sede secondaria 1: 10.20.0.0/16
  • Sede secondaria 2: 10.30.0.0/16
  • Pool indirizzi per client VPN: 10.100.0.0/22 (garantendo spazio per oltre 1000 client simultanei)

Un’azienda di consulenza di Firenze ha risolto il 95% dei problemi di connettività remota dei suoi dipendenti semplicemente migrando il suo schema di indirizzamento. È un intervento che richiede pianificazione, ma che elimina alla radice una fonte costante di problemi tecnici.

Punti chiave da ricordare

  • L’architettura ibrida (Site-to-Site + Client-to-Site) non è un’opzione, ma lo standard de facto per le aziende distribuite. L’obiettivo è l’orchestrazione, non la scelta.
  • Gli errori interni di configurazione (subnetting, certificati scaduti, split tunneling) sono spesso più dannosi e costosi delle minacce esterne. La manutenzione proattiva è sicurezza.
  • La performance non è un lusso, ma un requisito di produttività. L’adozione di protocolli moderni (WireGuard) e di soluzioni di backup intelligenti (SD-WAN con 5G) ha un ROI diretto.

Come mettere in sicurezza i PC dei dipendenti in smart working senza VPN complesse?

Per anni, la VPN è stata la risposta standard per la sicurezza dell’accesso remoto. Tuttavia, il suo modello si basa su un presupposto ormai superato: “una volta dentro, sei fidato”. Questo approccio, detto “a castello e fossato”, concede a un utente autenticato un accesso ampio, spesso all’intera rete locale, aumentando la superficie d’attacco in caso di compromissione dell’endpoint o delle credenziali. Gestire policy di accesso granulari tramite VPN tradizionali è complesso e inefficiente. Di fronte a questa realtà, emerge una nuova filosofia: lo Zero Trust Network Access (ZTNA).

Lo ZTNA ribalta il paradigma. Invece di estendere la rete aziendale al dispositivo dell’utente, crea un tunnel sicuro e specifico per singola applicazione, basato sul principio del “privilegio minimo”. L’utente non si connette “alla rete”, ma viene autorizzato ad accedere a una risorsa specifica (es. il gestionale, un file server) solo dopo che la sua identità e la postura di sicurezza del suo dispositivo sono state verificate. Per l’utente, l’esperienza è trasparente e spesso non richiede alcuna azione manuale. Per l’IT Manager, la gestione diventa più semplice e la sicurezza intrinsecamente più forte.

Lo ZTNA rappresenta l’evoluzione naturale della VPN: non più un accesso ‘tutto o niente’ alla rete, ma un controllo granulare basato sul principio del privilegio minimo

– Alessandro Curioni, DI.GI Academy

Il confronto diretto tra i due approcci evidenzia perché lo ZTNA stia diventando la soluzione d’elezione per la moderna forza lavoro distribuita. Una media company di Roma con 200 creativi remoti, migrando a una soluzione ZTNA, ha ridotto i ticket di supporto IT legati alla connettività del 60% e migliorato i tempi di accesso alle risorse cloud del 40%.

VPN tradizionale vs ZTNA: confronto per smart working
Caratteristica VPN Tradizionale ZTNA
Accesso alla rete Completo alla LAN Per singola applicazione
Superficie d’attacco Ampia (intera rete) Minima (solo app autorizzate)
Esperienza utente Connessione manuale Trasparente/automatica
Gestione policy Per gruppi/utenti Granulare per app/risorsa
Performance Tutto il traffico nel tunnel Solo traffico applicativo

Guardare al futuro della sicurezza significa comprendere le limitazioni degli strumenti attuali e valutare le alternative, come l'approccio Zero Trust per la protezione degli endpoint.

Valutate oggi stesso come un approccio Zero Trust possa semplificare e rafforzare la vostra strategia di accesso remoto, preparando la vostra infrastruttura alle sfide di domani.

Domande frequenti su VPN e Split Tunneling

Cos’è lo split tunneling e perché è rischioso?

Lo split tunneling è una configurazione VPN che permette a una parte del traffico internet dell’utente di bypassare il tunnel sicuro e accedere direttamente a internet. È rischioso perché crea un ponte non protetto tra la rete domestica dell’utente, potenzialmente insicura, e la rete aziendale, esponendo quest’ultima a possibili attacchi che sfruttano il PC del dipendente come punto di ingresso.

Come posso verificare se lo split tunneling è attivo?

Un metodo semplice è collegarsi alla VPN aziendale e visitare un sito web che mostra l’indirizzo IP pubblico (come “whatismyip.com”). Se l’indirizzo IP visualizzato è quello della vostra rete domestica e non quello dell’ufficio, significa che lo split tunneling è attivo per quel tipo di traffico, poiché la vostra richiesta web non sta passando attraverso il tunnel VPN.

Quali alternative esistono per migliorare le performance senza usare lo split tunneling?

Invece di ricorrere al rischioso split tunneling, è possibile migliorare le performance in altri modi. Si può implementare una politica di Quality of Service (QoS) sul gateway aziendale per dare priorità al traffico business-critical. Un’altra opzione è potenziare la banda del gateway VPN. Infine, l’adozione di soluzioni ZTNA (Zero Trust Network Access) rappresenta l’alternativa più moderna, poiché gestisce l’accesso per singola applicazione, ottimizzando performance e sicurezza in modo granulare.

Scritto da Marco Ferrari, Senior Network Architect e specialista in telecomunicazioni con 15 anni di esperienza nella progettazione di infrastrutture di rete critiche. Certificato CCIE e specializzato in tecnologie di accesso a banda ultralarga e architetture 5G private per il settore enterprise.
Next Generation Firewall: come bloccare Facebook e YouTube solo a specifici reparti?
Perché il firewall standard del provider non basta a proteggere la tua PMI dagli attacchi mirati?
Novità del sito
Manutenzione Storage Enterprise: perché la deframmentazione non serve più (e cosa fare invece)?
Sindrome da burnout del Sysadmin: smetti di spegnere incendi, automatizza la routine e riprenditi la vita
Centralizzazione dei Log: perché in caso di attacco i log locali non ti salveranno?
Gestione dispositivi mobili (MDM): come controllare 100 smartphone aziendali senza impazzire?
Come ridurre la bolletta energetica IT del 20% applicando policy di Green IT concrete?
Post simili
Wi-Fi pubblici e hotel: come proteggere i dati aziendali quando i commerciali viaggiano?
Passwordless in azienda: l’impronta digitale o il volto sono davvero più sicuri della password?
Come gestire onboarding e offboarding dei dipendenti per evitare account “zombie” attivi?
DPI e Privacy dei dipendenti: fino a che punto puoi ispezionare le email aziendali legalmente?