È lunedì mattina, il team in smart working prova a connettersi alla VPN aziendale e… niente. "Connessione scaduta", "Autenticazione fallita", "Server non raggiungibile". In pochi minuti, 15 persone sono bloccate fuori dalla rete aziendale. Niente file condivisi, niente gestionale, niente email interna. Questa guida ti aiuta a diagnosticare e risolvere i problemi VPN più comuni, dal certificato scaduto al DNS leak, con soluzioni pratiche e immediatamente applicabili.
Indice dei Contenuti
1. Certificati Scaduti: La Causa Numero Uno
La causa più frequente di una VPN che smette improvvisamente di funzionare è un certificato SSL/TLS scaduto. I certificati VPN hanno una validità tipica di 1-2 anni e, quando scadono, la connessione viene rifiutata senza possibilità di negoziazione. Il messaggio di errore varia: "Certificate has expired", "Authentication failed", "Unable to verify server certificate".
Come verificare la scadenza dei certificati
- • WatchGuard: System > Certificates > controlla "Expiration Date"
- • FortiGate: System > Certificates > colonna "Valid Until"
- • pfSense: System > Cert. Manager > Certificates
- • OpenVPN:
openssl x509 -enddate -noout -in server.crt - • Windows: certlm.msc > Personal > Certificates > colonna "Expiration Date"
Soluzione: rinnova il certificato sul firewall/concentratore VPN e distribuisci il nuovo certificato a tutti i client. Se usi certificati autofirmati (self-signed), genera un nuovo certificato con la stessa CA interna. Se usi certificati da una CA pubblica (Let's Encrypt, DigiCert), rinnova tramite il portale della CA. Prevenzione: imposta un promemoria calendar 30 giorni prima di ogni scadenza certificato o, meglio ancora, configura un alert automatico nel tool di monitoraggio.
2. Firewall che Blocca la VPN
Un aggiornamento firmware, una nuova regola firewall o una modifica alla configurazione può bloccare il traffico VPN senza che nessuno se ne accorga. Ecco le porte e i protocolli che devono essere aperti per ogni tipo di VPN:
| Protocollo VPN | Porte Richieste | Note |
|---|---|---|
| IPSec IKEv2 | UDP 500, UDP 4500 | ESP protocol (IP 50) deve passare |
| OpenVPN | UDP 1194 (default) | Configurabile su TCP 443 per bypassare blocchi |
| SSL-VPN | TCP 443 | Funziona ovunque, stesso porto di HTTPS |
| WireGuard | UDP 51820 (default) | Configurabile, ma solo UDP |
| L2TP/IPSec | UDP 500, 1701, 4500 | Sconsigliato: vulnerabilità note |
| PPTP | TCP 1723 + GRE | DEPRECATO: non usare, crittografia rotta |
Diagnosi: dal PC dell'utente, usa Test-NetConnection <IP-firewall> -Port 443 (PowerShell) o nc -zv <IP-firewall> 443(Linux/Mac) per verificare se la porta è raggiungibile. Se non lo è, il problema è nel firewall aziendale, nel router dell'utente o nell'ISP.
Attenzione: dopo un aggiornamento firmware del firewall, verifica che le regole VPN siano ancora attive. Alcuni aggiornamenti resettano le configurazioni o cambiano la struttura delle regole. Fai sempre un backup della configurazione prima di aggiornare il firmware.
3. Problemi di MTU e Frammentazione dei Pacchetti
L'MTU (Maximum Transmission Unit) è la dimensione massima di un pacchetto di rete. La VPN aggiunge un header di incapsulamento a ogni pacchetto, riducendo lo spazio disponibile per i dati. Se l'MTU non è configurato correttamente, i pacchetti troppo grandi vengono frammentati o scartati, causando:
Soluzione: riduci l'MTU sul tunnel VPN. I valori tipici sono: IPSec = 1400, OpenVPN = 1400, WireGuard = 1420, SSL-VPN = 1350. Per trovare il valore ottimale, usa il comando: ping -f -l 1400 <IP-server> (Windows) o ping -M do -s 1400 <IP-server> (Linux). Riduci il valore di 10 in 10 fino a quando il ping funziona senza frammentazione. Quel valore + 28 (header IP+ICMP) è il tuo MTU ottimale.
4. Split Tunneling: Quando Attivarlo e Quando No
Lo split tunneling è la configurazione che decide quale traffico passa dal tunnel VPN e quale va direttamente su Internet. È uno dei fattori più impattanti sulla velocità percepita della VPN.
Full tunnel (split OFF)
TUTTO il traffico passa dalla VPN, incluso YouTube, social, Windows Update. Pro: protezione completa, controllo totale del traffico. Contro: VPN lenta, banda satura, esperienza utente pessima, più carico sul firewall aziendale.
Split tunnel (split ON)
Solo il traffico verso la rete aziendale passa dalla VPN. Il resto va direttamente su Internet. Pro: VPN veloce, meno carico. Contro: il PC è esposto a Internet senza le protezioni del firewall aziendale. Serve EDR e DNS filtering.
La nostra raccomandazione: abilita lo split tunneling ma solo in combinazione con un EDR/antivirus gestito sui PC remoti e un servizio di DNS filtering cloud. In questo modo, l'utente ha una VPN veloce per accedere ai sistemi aziendali e resta protetto anche quando naviga direttamente su Internet.
Problemi ricorrenti con la VPN?
Un assessment dell'infrastruttura VPN identifica le cause alla radice dei problemi di connettività, prestazioni e sicurezza. Include analisi dei certificati, configurazione firewall, test di penetrazione e raccomandazioni per il protocollo ottimale.
5. DNS Leak e Problemi di Risoluzione Nomi
Un DNS leak si verifica quando le query DNS dell'utente bypassano il tunnel VPN e vengono risolte dal DNS dell'ISP locale invece che dal DNS aziendale. Questo causa due problemi: sicurezza (l'ISP vede quali siti visita l'utente) e funzionalità (i nomi interni della rete aziendale non vengono risolti).
Sintomi di DNS leak:
Diagnosi: con la VPN connessa, esegui nslookup server01 (dove server01 è un nome interno). Se risponde "Non-existent domain", le query DNS non passano dal tunnel. Verifica con nslookup server01 <IP-DNS-aziendale>: se questo funziona, il problema è nella configurazione DNS della VPN.
Soluzione: nella configurazione VPN del firewall, forza il DNS aziendale come DNS primario per i client VPN. Su WatchGuard Mobile VPN: impostazione "DNS Server" nelle proprietà del tunnel. Su OpenVPN: aggiungi push "dhcp-option DNS <IP-DNS>" nella configurazione server. Su Windows, disabilita "Smart Multi-Homed Name Resolution" via Group Policy per evitare che Windows invii query DNS su tutte le interfacce di rete.
6. Compatibilità Client e Aggiornamenti
Spesso il problema non è il server VPN ma il client VPN sul PC dell'utente. Ecco i problemi più comuni legati al client:
Aggiornamento Windows che rompe la VPN
Gli aggiornamenti cumulativi di Windows possono rompere il client VPN nativo o i driver di rete virtuale. Dopo un update problematico, prova: 1) Reinstalla il client VPN, 2) Ripristina il driver TAP/TUN, 3) Verifica il servizio 'IKE and AuthIP IPsec Keying Modules' e 'IPsec Policy Agent'.
Client VPN obsoleto
I client VPN dei produttori firewall (WatchGuard Mobile VPN, FortiClient, GlobalProtect) richiedono aggiornamenti periodici per restare compatibili con le nuove versioni del firmware. Se il client è troppo vecchio, la connessione fallisce silenziosamente.
Conflitto con antivirus o altro software VPN
Alcuni antivirus (specialmente quelli consumer con 'VPN integrata') interferiscono con la VPN aziendale. Anche avere installati più client VPN (es. OpenVPN + FortiClient + WireGuard) può creare conflitti sui driver di rete virtuale. Soluzione: disinstalla i client VPN non necessari.
Profilo VPN corrotto
Il file di configurazione VPN sul PC dell'utente può corrompersi. Sintomo: la VPN funziona su tutti i PC tranne uno. Soluzione: elimina il profilo VPN da Impostazioni > VPN, reimportalo da zero e reinserisci le credenziali.
7. WireGuard vs IPSec vs SSL-VPN: Quale Scegliere
La scelta del protocollo VPN impatta direttamente su prestazioni, sicurezza e compatibilità. Ecco un confronto pratico per le aziende:
| Caratteristica | WireGuard | IPSec IKEv2 | SSL-VPN |
|---|---|---|---|
| Velocità | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐ | ⭐⭐⭐ |
| Facilità setup | ⭐⭐⭐⭐⭐ | ⭐⭐⭐ | ⭐⭐⭐⭐ |
| Bypass firewall/NAT | ⭐⭐⭐ | ⭐⭐ | ⭐⭐⭐⭐⭐ |
| Integrazione AD/LDAP | ⭐⭐ | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐ |
| Supporto enterprise | ⭐⭐⭐ | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐ |
| Audit/compliance | ⭐⭐⭐ | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐ |
La nostra raccomandazione: per la maggior parte delle PMI italiane con 10-50 dipendenti in smart working, SSL-VPN è la scelta più pratica: funziona ovunque (porta 443), non richiede configurazione speciale lato utente ed è supportata da tutti i firewall enterprise (WatchGuard, FortiGate, Sophos). Per aziende più tecniche con esigenze di performance, WireGuard offre velocità superiori con un setup minimo.
8. Problemi Specifici dello Smart Working
Con l'esplosione dello smart working, nuovi problemi VPN si sono aggiunti a quelli classici. Le connessioni domestiche e mobili presentano sfide diverse rispetto alla rete dell'ufficio:
WiFi domestico instabile
Il WiFi di casa con 3 figli in videochiamata, TV in streaming e smart home non ha la stessa stabilità della rete aziendale. Soluzione: consiglia ai dipendenti di usare il cavo Ethernet per lo smart working. Se non è possibile, una banda 5 GHz dedicata o un access point mesh migliorano significativamente la stabilità.
Upload insufficiente
Molte connessioni FTTC italiane offrono 20 Mbps in download ma solo 1-3 Mbps in upload. La VPN usa l’upload per inviare dati al server aziendale. Con 1 Mbps di upload condiviso tra VPN, videochiamate e backup cloud, la VPN diventa inutilizzabile. Soluzione: FTTH o connessione dedicata per i remote worker critici.
Double NAT
Se il dipendente ha un modem del provider + un router proprio, il traffico VPN può essere bloccato dal double NAT. IPSec è particolarmente sensibile a questo problema. Soluzione: configura il modem del provider in modalità bridge o usa SSL-VPN su porta 443 che attraversa qualsiasi NAT.
Per un approfondimento completo sullo smart working sicuro, leggi la nostra guida dedicata: Smart Working Sicuro con VPN Aziendali. Se stai valutando una soluzione VPN per la tua azienda, scopri il nostro servizio di VPN aziendale gestita.
Domande Frequenti
Perché la VPN aziendale è lenta anche con una connessione veloce?
Le cause più comuni di VPN lenta sono: 1) Server VPN sovraccarico (troppe connessioni simultanee, CPU al 100%), 2) Routing inefficiente — tutto il traffico passa dal tunnel VPN incluso YouTube e social (manca lo split tunneling), 3) MTU errato che causa frammentazione dei pacchetti, 4) Crittografia pesante su hardware datato (AES-256-GCM richiede CPU con accelerazione hardware), 5) ISP dell'utente remoto con upload limitato. Verifica con un test speedtest.net senza VPN e con VPN: se la differenza è superiore al 30%, c'è un problema di configurazione.
Come faccio a capire se il certificato VPN è scaduto?
Su Windows: apri il client VPN e cerca messaggi come 'Certificate expired' o 'Authentication failed'. Sul firewall/concentratore VPN (WatchGuard, FortiGate, pfSense): accedi alla dashboard e controlla la sezione certificati — ogni certificato ha una data di scadenza. Su WatchGuard: System > Certificates. Su FortiGate: System > Certificates. Consiglio: configura un alert automatico 30 giorni prima della scadenza. I certificati VPN di solito durano 1-2 anni e la scadenza è la causa numero uno di VPN che smettono di funzionare 'improvvisamente'.
Split tunneling: è sicuro abilitarlo sulla VPN aziendale?
Lo split tunneling è un compromesso tra sicurezza e usabilità. Con lo split tunneling, solo il traffico verso la rete aziendale passa dal tunnel VPN, mentre il resto (navigazione web, streaming) va direttamente su Internet. Vantaggi: meno carico sul server VPN, navigazione più veloce, meno banda consumata. Rischi: il PC dell'utente è esposto direttamente a Internet senza le protezioni aziendali (firewall, proxy, content filter). Il compromesso ideale: split tunneling attivo + EDR/antivirus gestito sul PC + DNS filtering cloud (es. Cisco Umbrella). In questo modo proteggi l'utente anche quando non passa dal firewall aziendale.
WireGuard è meglio di IPSec per la VPN aziendale?
Dipende dal contesto. WireGuard è più veloce, più semplice da configurare e ha una base di codice molto più piccola (4.000 righe vs 400.000 di OpenVPN), il che lo rende più sicuro per design. Tuttavia, WireGuard non supporta nativamente l'autenticazione tramite Active Directory/LDAP, non ha una gestione granulare degli utenti e non è ancora supportato da tutti i firewall enterprise. Per una PMI con 5-20 utenti remoti e un firewall compatibile, WireGuard è ottimo. Per aziende con 50+ utenti, compliance e integrazione AD, IPSec IKEv2 o SSL-VPN restano la scelta più solida.
La VPN funziona da casa ma non dall'hotel o dal WiFi pubblico. Perché?
Gli hotel e i WiFi pubblici spesso bloccano le porte non standard e i protocolli VPN. IPSec usa le porte UDP 500 e 4500 (spesso bloccate). OpenVPN su porta UDP 1194 viene bloccato. La soluzione è configurare la VPN su porta TCP 443 (HTTPS) che non viene mai bloccata perché è la stessa porta della navigazione web sicura. SSL-VPN e OpenVPN su TCP 443 funzionano praticamente ovunque. WireGuard può essere configurato su porta 443 ma solo UDP, quindi potrebbe essere bloccato. Altra causa: captive portal dell'hotel che richiede autenticazione web prima di consentire il traffico.
Come proteggo la VPN aziendale da accessi non autorizzati?
Le best practice per la sicurezza VPN aziendale sono: 1) Autenticazione a due fattori (MFA) obbligatoria per tutti gli utenti VPN, 2) Certificati client individuali (non una sola chiave condivisa), 3) Segmentazione della rete — gli utenti VPN non devono avere accesso a tutta la rete aziendale ma solo alle risorse necessarie, 4) Logging e monitoraggio delle connessioni VPN (chi si connette, quando, da dove), 5) Aggiornamento regolare del firmware del concentratore VPN, 6) Disabilitazione degli utenti VPN non più attivi (ex dipendenti). Un approccio Zero Trust va oltre la VPN tradizionale e verifica ogni accesso in base a identità, dispositivo e contesto.
La VPN aziendale è un'infrastruttura critica che merita la stessa attenzione del server o del firewall. Un problema VPN non è solo un fastidio — blocca l'intera forza lavoro remota. La chiave è avere una configurazione solida, certificati monitorati, un protocollo adatto al contesto e un piano B per le emergenze.
Contattaci per un assessment gratuito della tua infrastruttura VPN. Analizziamo configurazione, sicurezza e prestazioni, e ti proponiamo le ottimizzazioni per un accesso remoto veloce, sicuro e affidabile.