1. Architettura consigliata (scenario di riferimento)
Scenario tipico
-
PC d’ufficio (Windows 10/11 o Windows Server)
-
Router con IP pubblico (o NAT del provider)
-
Accesso remoto da notebook / smartphone
-
VPN WireGuard come unico punto di ingresso
Principio di sicurezza
Nessun servizio esposto su Internet, solo VPN.
2. Preparazione del computer d’ufficio
2.1 Aggiornamenti e hardening base
-
Aggiorna Windows (patch di sicurezza)
-
Attiva BitLocker (se disponibile)
-
Usa account utente standard (non admin)
-
Password complessa o Windows Hello
-
Disabilita:
-
Condivisioni non necessarie
-
RDP pubblico (verrà usato solo via VPN)
-
3. Installazione e configurazione WireGuard (PC ufficio)
3.1 Installazione
-
Scarica WireGuard per Windows
-
Installa come servizio
3.2 Creazione tunnel (Server)
Esempio IP VPN:
-
Rete VPN:
10.20.0.0/24 -
PC ufficio:
10.20.0.1
Configurazione PC ufficio
Per ogni client remoto:
4. Configurazione del router
4.1 Port forwarding (obbligatorio)
Sul router:
-
Protocollo: UDP
-
Porta esterna: 51820
-
IP interno: IP del PC ufficio
-
Porta interna: 51820
4.2 Firewall del router
-
Consenti solo UDP 51820
-
Blocca:
-
RDP (3389)
-
SMB (445)
-
Qualsiasi porta non necessaria
-
4.3 IP dinamico
Se IP pubblico dinamico:
-
Attiva DDNS (es.
ufficio.ddns.net)
5. Configurazione del client remoto
Esempio configurazione client:
6. Accesso remoto sicuro
6.1 Regole fondamentali
-
RDP abilitato solo su rete VPN
-
File sharing solo su IP VPN
-
Nessun servizio accessibile da WAN
6.2 Windows Firewall (PC ufficio)
Crea regole:
-
Consenti RDP solo da
10.20.0.0/24 -
Consenti SMB solo da
10.20.0.0/24 -
Blocca tutto il resto
7. Verifiche finali
Checklist:
-
La VPN si connette
-
Il PC risponde a
ping 10.20.0.1 -
RDP funziona solo con VPN attiva
-
RDP NON funziona senza VPN
-
Porte WAN chiuse (tranne 51820 UDP)
8. Best practice consigliate
-
Una chiave WireGuard per ogni dispositivo
-
Disabilita peer non usati
-
Backup della configurazione
-
Log firewall attivi
-
Aggiornare WireGuard periodicamente
9. Risultato finale
✔ Accesso remoto cifrato
✔ Nessun servizio esposto
✔ Sicurezza superiore a RDP pubblico
✔ Configurazione stabile e veloce
Se vuoi, nel prossimo messaggio posso:
-
adattare la guida specificamente per Windows Server
-
prepararti un PDF pronto per clienti
-
creare una configurazione standard con più server
-
oppure uno schema per FileMaker Server + WireGuard
Dimmi come intendi utilizzarla.
Se la rete dell’ufficio non dispone di IP pubblico fisso, la soluzione più economica, affidabile e professionale è utilizzare un DNS dinamico (DDNS) in abbinamento a WireGuard.
Di seguito trovi le opzioni pratiche, ordinate per costo crescente, con indicazioni operative.
Soluzione 1 — DNS dinamico (DDNS) gratuito o quasi (consigliata)
Come funziona
-
Il provider assegna un IP variabile
-
Un servizio DDNS aggiorna automaticamente un nome host
-
WireGuard si collega al nome DNS invece che all’IP
Esempio:
Servizi DDNS affidabili
-
No-IP – gratuito (con rinnovo periodico)
-
Duck DNS – gratuito
-
Dynu – gratuito / low-cost
Dove configurarlo
Opzione A – sul router (se supportato)
Opzione B – sul PC d’ufficio (client DDNS)
WireGuard (endpoint)
Costo: 0 €
Affidabilità: alta
Consigliata per: 90% degli uffici piccoli
Soluzione 2 — IP pubblico dinamico “vero” (verifica CG-NAT)
Prima di procedere: verifica se sei sotto CG-NAT
Come verificarlo
-
IP WAN del router ≠ IP visto da
whatismyip -
Se diversi → CG-NAT
In caso di CG-NAT:
-
Chiedi al provider IP pubblico dinamico
-
Molti ISP lo offrono gratis o 2–5 €/mese
Costo: 0–5 €/mese
Vantaggio: piena compatibilità WireGuard
Svantaggio: dipende dal provider
Soluzione 3 — Server VPS “ponte” (economica ma avanzata)
Quando serve
-
ISP con CG-NAT non removibile
-
Nessuna porta apribile
-
Massima affidabilità
Come funziona
-
VPS con IP fisso (3–5 €/mese)
-
L’ufficio si collega in uscita al VPS
-
I client remoti entrano dal VPS
Schema:
Provider economici:
-
Hetzner
-
Aruba Cloud
-
Contabo
Costo: 3–6 €/mese
Affidabilità: molto alta
Consigliata per: ambienti professionali e server
Soluzione 4 — VPN commerciale (NON consigliata)
-
NordVPN, Surfshark, ecc.
-
Non progettate per accesso ufficio ↔ PC
-
Nessun controllo reale di sicurezza
❌ Sconsigliata in ambito aziendale
Confronto rapido
| Soluzione | Costo | Complessità | Affidabilità |
|---|---|---|---|
| DDNS | 0 € | bassa | alta |
| IP pubblico dinamico | 0–5 € | molto bassa | alta |
| VPS ponte | 3–6 € | media | molto alta |
| VPN commerciale | 3–10 € | bassa | bassa |
Raccomandazione pratica
Per un ufficio standard:
-
Verifica CG-NAT
-
Se NON c’è CG-NAT → DDNS + WireGuard
-
Se c’è CG-NAT → chiedi IP pubblico dinamico
-
Se non possibile → VPS ponte
