“Internet è come una rete stradale: i vostri dati viaggiano visibili a tutti. La VPN è il tubo blindato che li protegge.”
▶ Guarda la spiegazione video di Alfonso Olivieri — STETE Srl
Prima di tutto: cos’è una LAN
Per capire la VPN bisogna partire dalla LAN (Local Area Network): la rete locale dei PC e dispositivi presenti nella vostra azienda. La LAN permette a tutti i dispositivi — PC, stampanti, server, NAS — di comunicare tra loro e di condividere le risorse, compresa la connessione Internet.
🧓 Per chi ha la barba bianca: chi lavora nell’IT da decenni ricorda i terminali con le scritte verdi o blu, collegati via cavo coassiale RJ58 alla Control Unit, o via Token Ring all’AS400. Quelle erano le prime “reti”. Internet è arrivato molto dopo — prima con i modem seriali su singolo PC, poi con i router RJ45 che hanno permesso a tutta la LAN di uscire su Internet attraverso un unico gateway.
Il router, oltre a gestire il traffico verso Internet, contiene al suo interno diversi servizi — tra cui quello per la VPN.
Cos’è una VPN: l’analogia della Posta Pneumatica
Immaginate Internet come la rete stradale: autostrade (le dorsali tra i POP principali), tangenziali, strade statali e comunali, fino alla vostra sede. Quando spedite un pacchetto di dati, il vostro ISP lo prende e lo instrada su questa rete — visibile, etichettato, identificabile da chiunque.
⚠️ Il problema: i pacchetti che viaggiano su Internet sono trasparenti. Chiunque può — in linea di principio — intercettarli, copiarli o deviarli. E se volete condividere le risorse di due reti aziendali, dovreste aprire l’accesso dall’esterno a chiunque, compresi i malintenzionati.
La VPN funziona come la posta pneumatica: un tubo diretto e chiuso tra due punti, su cui i pacchetti viaggiano protetti dall’esterno.
I due router o firewall delle sedi instaurano un collegamento virtuale, crittografato che passa fisicamente sulla rete Internet ma al cui interno i dati sono completamente protetti. Chi è fuori dal tubo non vede nulla.
I Due Tipi Principali di VPN Aziendale
🏢 Site to Site (Sede ↔ Sede)
Collega due o più sedi aziendali come se fossero un’unica LAN. Realizzata tramite hardware (router/firewall) sulle due sedi, sfruttando i collegamenti Internet esistenti.
Quando serve:
- Uffici in più città o edifici diversi
- Condivisione di server, stampanti, NAS tra sedi
- Telefoni VoIP su centralino unico tra sedi
- Backup centralizzato tra sedi
💻 Road Warrior (Utente mobile ↔ Sede)
Permette a un singolo utente — con notebook, smartphone o tablet — di collegarsi alla LAN aziendale da qualsiasi posto nel mondo, come se fosse in ufficio.
Quando serve:
- Smart working e lavoro da remoto
- Trasferte e accesso da hotel/aeroporti
- Accesso a file, stampanti e server aziendali da fuori
- Remote Desktop (RDP) in sicurezza
💡 Le due VPN possono coesistere. Se avete il server in cloud, potete avere contemporaneamente la Site-to-Site tra le sedi fisiche e la Road Warrior per gli utenti in mobilità — tutto gestito dallo stesso firewall.
Come Appare in Pratica
🏢 VPN Site to Site — due sedi collegate
Sede A — LAN
→
Firewall A
🔒
TUNNEL VPN crittografato
🔒
Firewall B
→
Sede B — LAN
✅ Le due reti comunicano come se fossero la stessa LAN — in modo sicuro, su Internet pubblico
💻 VPN Road Warrior — utente mobile
Notebook / Smartphone
→
Software VPN
🔒
TUNNEL VPN crittografato
🔒
Firewall Sede
→
LAN Aziendale
✅ L’utente accede alla rete aziendale da ovunque — hotel, casa, aeroporto — come se fosse in ufficio
Sicurezza e Livelli di Crittografia
Non tutte le VPN sono uguali. Il livello di sicurezza dipende dall’hardware o software che gestisce il collegamento. I firewall che installiamo noi usano protocolli moderni (IKEv2, WireGuard, OpenVPN) con crittografia AES-256 — lo stesso standard usato dalle banche.
🔄 Come il firewall reagisce agli attacchi
Il software VPN integrato nei router e firewall monitora costantemente il tunnel. Se rileva tentativi di intrusione o comportamenti anomali, cambia automaticamente la strada del collegamento — e continuerà a farlo ogni volta che percepisce qualcosa di sospetto. Il tutto in modo trasparente per gli utenti.
STETE e la Gestione delle VPN Aziendali
Configurare una VPN non è complicato. Configurarla bene — con i protocolli giusti, le credenziali sicure, il monitoraggio attivo e le patch aggiornate — è un’altra cosa.
Come abbiamo visto nel caso MySonicWall (settembre 2025), una VPN mal gestita può diventare il punto di ingresso di un attacco. Per questo la VPN fa parte del nostro servizio di gestione proattiva del firewall:
- Configurazione con protocolli moderni e sicuri
- Rotazione periodica delle credenziali di accesso
- Monitoraggio attivo del tunnel e degli accessi
- Intervento immediato in caso di vulnerabilità critiche del vendor
- Supporto per utenti in smart working: installazione e configurazione del client VPN su PC e smartphone
STETE-VPN/R: VPN per Apparati Remoti nel Mondo
La VPN non serve solo a collegare due uffici o un dipendente in smart working. Serve anche a raggiungere apparati fisici distribuiti in luoghi remoti — macchinari, sensori, terminali industriali — senza dover installare software dedicati o gestire connessioni complesse.
📡 Il caso reale: dispositivi in tutto il mondo, gestiti da browser
Un nostro cliente aveva apparati elettronici sparsi in più Paesi, monitorati con sistemi arcaici e interventi manuali continui. La soluzione:
- Ogni apparato dotato di un dispositivo LTE con SIM internazionale STETE
- Tunnel VPN crittografato su rete cellulare — una LAN privata virtuale ovunque nel mondo
- Il cliente raggiunge ogni apparato dal proprio browser, senza installare nessun software
- Se un apparato non risponde per più di X minuti, scatta un alert automatico
- Lo stesso dispositivo si adatta alla connessione disponibile: LTE, WiFi o LAN cablata
Il problema delle reti NAT e SIM: entra in gioco il Box-IP
Non tutti gli apparati remoti si trovano su reti con IP pubblico. Molti sono su reti nattate, dietro SIM o protetti da firewall aziendali che bloccano l’accesso dall’esterno. In questi casi, creare un tunnel VPN tradizionale non è sufficiente.
Lo STETE Box-IP risolve questo problema: è un dispositivo fisico che si collega nella rete locale dell’apparato remoto e stabilisce un tunnel crittografato verso l’esterno. Ad ogni apparato viene assegnato un IP pubblico e una porta dedicata (es. 80.81.82.83:5858), accessibile da browser senza software aggiuntivi.
Senza Box-IP
- Apparato su rete NAT = non raggiungibile
- Apparato dietro SIM = nessun IP pubblico
- Interventi manuali in loco obbligatori
- Monitoraggio solo quando qualcuno ci va
Con Box-IP
- IP+porta pubblica dedicata per ogni apparato
- Tunnel crittografato — traffico sempre protetto
- Accesso da browser, zero software da installare
- Scalabile: sedi, dispositivi e porte illimitati
Volete collegare due sedi o gestire apparati remoti in sicurezza?
Valutiamo insieme la soluzione VPN più adatta alla vostra azienda.
Per maggiori informazioni: commerciale@stete.it | 02 44 07 17 17
Alfonso Olivieri — STETE Srl