Lunedì mattina, 15 persone in smart working provano a connettersi alla VPN e… niente. "Connessione scaduta", "Autenticazione fallita", "Server non raggiungibile". In cinque minuti il telefono ti esplode.Niente file condivisi, niente gestionale, niente email interna. Ti suona familiare? Qui trovi come diagnosticare e risolvere i problemi VPN più comuni — dal certificato scaduto al DNS leak — con soluzioni che puoi applicare subito.
Indice dei Contenuti
1. Certificati Scaduti: La Causa Numero Uno
La causa numero uno di una VPN che smette di funzionare da un giorno all'altro? Un certificato SSL/TLS scaduto. I certificati VPN durano in genere 1-2 anni e, quando scadono, la connessione viene rifiutata senza pietà. Il messaggio di errore cambia a seconda del sistema: "Certificate has expired", "Authentication failed", "Unable to verify server certificate".
Come verificare la scadenza dei certificati
- • WatchGuard: System > Certificates > controlla "Expiration Date"
- • FortiGate: System > Certificates > colonna "Valid Until"
- • pfSense: System > Cert. Manager > Certificates
- • OpenVPN:
openssl x509 -enddate -noout -in server.crt - • Windows: certlm.msc > Personal > Certificates > colonna "Expiration Date"
Come si risolve: rinnova il certificato sul firewall o concentratore VPN e ridistribuiscilo a tutti i client. Usi certificati autofirmati (self-signed)? Generane uno nuovo con la stessa CA interna. Usi una CA pubblica (Let's Encrypt, DigiCert)? Rinnova dal loro portale. Per non ricascarci: metti un promemoria nel calendario 30 giorni prima di ogni scadenza — o, meglio, configura un alert automatico nel tuo tool di monitoraggio.
2. Firewall che Blocca la VPN
Hai aggiornato il firmware? Qualcuno ha toccato le regole? Una modifica alla configurazione può bloccare la VPN senza che nessuno se ne accorga. Ecco le porte e i protocolli che devono restare aperti per ogni tipo di VPN:
| Protocollo VPN | Porte Richieste | Note |
|---|---|---|
| IPSec IKEv2 | UDP 500, UDP 4500 | ESP protocol (IP 50) deve passare |
| OpenVPN | UDP 1194 (default) | Configurabile su TCP 443 per bypassare blocchi |
| SSL-VPN | TCP 443 | Funziona ovunque, stesso porto di HTTPS |
| WireGuard | UDP 51820 (default) | Configurabile, ma solo UDP |
| L2TP/IPSec | UDP 500, 1701, 4500 | Sconsigliato: vulnerabilità note |
| PPTP | TCP 1723 + GRE | DEPRECATO: non usare, crittografia rotta |
Diagnosi: dal PC dell'utente, usa Test-NetConnection <IP-firewall> -Port 443 (PowerShell) o nc -zv <IP-firewall> 443(Linux/Mac) per verificare se la porta è raggiungibile. Se non lo è, il problema è nel firewall aziendale, nel router dell'utente o nell'ISP.
Occhio: dopo un aggiornamento firmware del firewall, controlla sempre che le regole VPN siano ancora lì. Certi aggiornamenti resettano le configurazioni o cambiano la struttura delle regole. Fai sempre un backup della configurazione prima di toccare il firmware. Sempre.
3. Problemi di MTU e Frammentazione dei Pacchetti
L'MTU (Maximum Transmission Unit) è la dimensione massima di un pacchetto di dati che la rete riesce a trasportare in un colpo solo. La VPN aggiunge una "busta" a ogni pacchetto, riducendo lo spazio utile. Se l'MTU non è regolato per compensare, i pacchetti troppo grandi vengono spezzettati o buttati via, e ti ritrovi con:
Soluzione: riduci l'MTU sul tunnel VPN. I valori tipici sono: IPSec = 1400, OpenVPN = 1400, WireGuard = 1420, SSL-VPN = 1350. Per trovare il valore ottimale, usa il comando: ping -f -l 1400 <IP-server> (Windows) o ping -M do -s 1400 <IP-server> (Linux). Riduci il valore di 10 in 10 fino a quando il ping funziona senza frammentazione. Quel valore + 28 (header IP+ICMP) è il tuo MTU ottimale.
4. Split Tunneling: Quando Attivarlo e Quando No
Lo split tunneling decide quale traffico passa dalla VPN e quale esce direttamente su Internet. Se la VPN ti sembra lenta, questo è probabilmente il primo posto dove guardare.
Full tunnel (split OFF)
TUTTO il traffico passa dalla VPN, incluso YouTube, social, Windows Update. Pro: protezione completa, controllo totale del traffico. Contro: VPN lenta, banda satura, esperienza utente pessima, più carico sul firewall aziendale.
Split tunnel (split ON)
Solo il traffico verso la rete aziendale passa dalla VPN. Il resto va direttamente su Internet. Pro: VPN veloce, meno carico. Contro: il PC è esposto a Internet senza le protezioni del firewall aziendale. Serve EDR e DNS filtering.
Il nostro consiglio: attiva lo split tunneling, ma abbinalo a un EDR/antivirus gestito sui PC dei dipendenti e a un DNS filtering cloud. Così chi lavora da remoto ha una VPN veloce per i sistemi aziendali e resta protetto anche quando naviga direttamente su Internet.
La VPN ti dà problemi ogni settimana?
Un checkup della VPN trova le cause vere dei problemi di connessione, lentezza e sicurezza: certificati, configurazione firewall, protocollo sbagliato. Ci mettiamo un paio d'ore e ti diciamo esattamente cosa non va.
5. DNS Leak e Problemi di Risoluzione Nomi
Un DNS leak succede quando le richieste DNS (cioè "a che indirizzo corrisponde questo nome?") scavalcano la VPN e finiscono dal DNS del tuo provider Internet di casa, invece che dal DNS aziendale. Risultato? Due problemi: sicurezza (il provider vede che siti visiti) e funzionalità (i nomi interni della rete aziendale non vengono risolti).
Sintomi di DNS leak:
Diagnosi: con la VPN connessa, esegui nslookup server01 (dove server01 è un nome interno). Se risponde "Non-existent domain", le query DNS non passano dal tunnel. Verifica con nslookup server01 <IP-DNS-aziendale>: se questo funziona, il problema è nella configurazione DNS della VPN.
Soluzione: nella configurazione VPN del firewall, forza il DNS aziendale come DNS primario per i client VPN. Su WatchGuard Mobile VPN: impostazione "DNS Server" nelle proprietà del tunnel. Su OpenVPN: aggiungi push "dhcp-option DNS <IP-DNS>" nella configurazione server. Su Windows, disabilita "Smart Multi-Homed Name Resolution" via Group Policy per evitare che Windows invii query DNS su tutte le interfacce di rete.
6. Compatibilità Client e Aggiornamenti
A volte il server VPN non c'entra niente — il problema è il client VPN sul PC di chi si collega. Ecco le grane più frequenti:
Aggiornamento Windows che rompe la VPN
Gli aggiornamenti cumulativi di Windows possono rompere il client VPN nativo o i driver di rete virtuale. Dopo un update problematico, prova: 1) Reinstalla il client VPN, 2) Ripristina il driver TAP/TUN, 3) Verifica il servizio 'IKE and AuthIP IPsec Keying Modules' e 'IPsec Policy Agent'.
Client VPN obsoleto
I client VPN dei produttori firewall (WatchGuard Mobile VPN, FortiClient, GlobalProtect) richiedono aggiornamenti periodici per restare compatibili con le nuove versioni del firmware. Se il client è troppo vecchio, la connessione fallisce silenziosamente.
Conflitto con antivirus o altro software VPN
Alcuni antivirus (specialmente quelli consumer con 'VPN integrata') interferiscono con la VPN aziendale. Anche avere installati più client VPN (es. OpenVPN + FortiClient + WireGuard) può creare conflitti sui driver di rete virtuale. Soluzione: disinstalla i client VPN non necessari.
Profilo VPN corrotto
Il file di configurazione VPN sul PC dell'utente può corrompersi. Sintomo: la VPN funziona su tutti i PC tranne uno. Soluzione: elimina il profilo VPN da Impostazioni > VPN, reimportalo da zero e reinserisci le credenziali.
7. WireGuard vs IPSec vs SSL-VPN: Quale Scegliere
Il protocollo VPN che scegli cambia tutto: velocità, sicurezza e dove funziona. Ecco un confronto onesto:
| Caratteristica | WireGuard | IPSec IKEv2 | SSL-VPN |
|---|---|---|---|
| Velocità | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐ | ⭐⭐⭐ |
| Facilità setup | ⭐⭐⭐⭐⭐ | ⭐⭐⭐ | ⭐⭐⭐⭐ |
| Bypass firewall/NAT | ⭐⭐⭐ | ⭐⭐ | ⭐⭐⭐⭐⭐ |
| Integrazione AD/LDAP | ⭐⭐ | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐ |
| Supporto enterprise | ⭐⭐⭐ | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐ |
| Audit/compliance | ⭐⭐⭐ | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐ |
Il nostro consiglio: per la classica PMI italiana con 10-50 persone in smart working, SSL-VPN è la scelta più comoda: funziona ovunque (usa la porta 443, la stessa del web), non serve configurare nulla lato utente ed è supportata da tutti i firewall seri (WatchGuard, FortiGate, Sophos). Se la tua azienda è più tecnica e ti serve velocità pura, WireGuard è una bomba con un setup semplicissimo.
8. Problemi Specifici dello Smart Working
Da quando mezzo ufficio lavora dal divano, i problemi VPN si sono moltiplicati. La connessione di casa non è quella dell'ufficio, e si vede:
WiFi domestico instabile
Il WiFi di casa con 3 figli in videochiamata, TV in streaming e smart home non ha la stessa stabilità della rete aziendale. Soluzione: consiglia ai dipendenti di usare il cavo Ethernet per lo smart working. Se non è possibile, una banda 5 GHz dedicata o un access point mesh migliorano significativamente la stabilità.
Upload insufficiente
Molte connessioni FTTC italiane offrono 20 Mbps in download ma solo 1-3 Mbps in upload. La VPN usa l'upload per inviare dati al server aziendale. Con 1 Mbps di upload condiviso tra VPN, videochiamate e backup cloud, la VPN diventa inutilizzabile. Soluzione: FTTH o connessione dedicata per i remote worker critici.
Double NAT
Se il dipendente ha un modem del provider + un router proprio, il traffico VPN può essere bloccato dal double NAT. IPSec è particolarmente sensibile a questo problema. Soluzione: configura il modem del provider in modalità bridge o usa SSL-VPN su porta 443 che attraversa qualsiasi NAT.
Per un approfondimento completo sullo smart working sicuro, leggi la nostra guida dedicata: Smart Working Sicuro con VPN Aziendali. Se stai valutando una soluzione VPN per la tua azienda, scopri il nostro servizio di VPN aziendale gestita.
Domande Frequenti
Perché la VPN aziendale è lenta anche con una connessione veloce?
Le cause piu comuni: 1) Server VPN sovraccarico (troppe connessioni, CPU al 100%), 2) Tutto il traffico passa dalla VPN, anche YouTube e social, perche manca lo split tunneling, 3) MTU sbagliato che spezza i pacchetti, 4) Crittografia pesante su hardware vecchio (AES-256-GCM ha bisogno di CPU con accelerazione hardware), 5) La connessione di chi si collega da casa ha poco upload. Fai un test su speedtest.net senza VPN e con VPN: se la differenza supera il 30%, il problema e nella configurazione.
Come faccio a capire se il certificato VPN è scaduto?
Su Windows: apri il client VPN e cerca messaggi tipo 'Certificate expired' o 'Authentication failed'. Sul firewall (WatchGuard, FortiGate, pfSense): entra nella dashboard e vai alla sezione certificati. Su WatchGuard: System > Certificates. Su FortiGate: System > Certificates. Consiglio spassionato: metti un alert automatico 30 giorni prima della scadenza. I certificati VPN durano 1-2 anni e la scadenza e la causa numero uno di VPN che smettono di funzionare 'dal nulla'.
Split tunneling: è sicuro abilitarlo sulla VPN aziendale?
E un compromesso tra sicurezza e velocita. Con lo split tunneling attivo, solo il traffico verso la rete aziendale passa dalla VPN. Il resto (navigazione, streaming) va diretto su Internet. Pro: VPN piu veloce, meno carico sul server. Contro: il PC e esposto a Internet senza il firewall aziendale. La via di mezzo che funziona: split tunneling attivo + antivirus/EDR gestito sul PC + DNS filtering cloud (tipo Cisco Umbrella). Cosi proteggi chi lavora da remoto anche quando non passa dal firewall.
WireGuard è meglio di IPSec per la VPN aziendale?
Dipende da chi sei. WireGuard e piu veloce, piu semplice e ha un codice minuscolo (4.000 righe vs 400.000 di OpenVPN), quindi meno bug per design. Pero non si integra nativamente con Active Directory, non gestisce utenti in modo granulare e non tutti i firewall lo supportano. Se hai 5-20 persone in remoto e un firewall compatibile, WireGuard e fantastico. Se hai 50+ utenti, obblighi di compliance e Active Directory, IPSec IKEv2 o SSL-VPN restano la scelta piu concreta.
La VPN funziona da casa ma non dall'hotel o dal WiFi pubblico. Perché?
Hotel e WiFi pubblici bloccano un sacco di porte e protocolli. IPSec usa le porte UDP 500 e 4500 (bloccate quasi sempre). OpenVPN su UDP 1194 stessa storia. La soluzione: configura la VPN sulla porta TCP 443 (quella dell'HTTPS), che non viene mai bloccata perche e la stessa del web normale. SSL-VPN e OpenVPN su TCP 443 funzionano praticamente ovunque. WireGuard puo andare sulla 443 ma solo in UDP, quindi a volte lo bloccano lo stesso. Altro colpevole: il captive portal dell'hotel che vuole che ti autentichi via browser prima di lasciarti fare qualsiasi cosa.
Come proteggo la VPN aziendale da accessi non autorizzati?
Ecco cosa fare: 1) Autenticazione a due fattori (MFA) obbligatoria per tutti, 2) Certificati client individuali (niente chiave condivisa tra 20 persone), 3) Segmentazione: chi si collega in VPN non deve vedere tutta la rete, solo quello che gli serve, 4) Tieni i log delle connessioni (chi, quando, da dove), 5) Aggiorna regolarmente il firmware del firewall/concentratore VPN, 6) Disabilita subito gli accessi di chi se ne va dall'azienda. Se vuoi fare il salto successivo, un approccio Zero Trust verifica ogni accesso in base a chi sei, che dispositivo usi e da dove ti colleghi.
La VPN è uno di quei sistemi senza cui non lavori più: se salta, tutto il team in remoto è fermo. La chiave è una configurazione fatta bene, certificati tenuti d'occhio, il protocollo giusto per la tua situazione e un piano B quando le cose vanno storte.
Scrivici o chiamaci al 039 5787 212 per un checkup gratuito della tua VPN. Guardiamo configurazione, sicurezza e prestazioni, e ti diciamo cosa sistemare per avere un accesso remoto veloce, sicuro e che non ti fa bestemmiare.