La tecnica Network Address Translation (abbreviato, NAT) consiste nel modificare gli indirizzi IP contenuti negli header dei pacchetti dati in transito. Sebbene il termine possa sembrare ostico la stragrande maggioranza dei nostri lettori utilizza il NAT ogni giorno: l’indirizzo IP pubblico (statico o dinamico) assegnato dal provider Internet prescelto a ogni connessione viene infatti condiviso da tutti i dispositivi collegati alla rete locale (via cavo Ethernet o WiFi).
Il NAT viene però ancora oggi utilizzato da molti provider che non assegnano un indirizzo IP univoco al singolo modem router dell’abbonato o allo smartphone dell’utente ma rilasciando un IP condiviso tra molti utenti.
Questa tecnica si è affermata come mezzo per ovviare alla scarsità di indirizzi IP pubblici disponibili.
La stragrande maggioranza degli operatori di telefonia mobile, per esempio, usa ancora la tecnica del NAT quindi allestendo configurazioni come quelle presentate nell’articolo Router 4G per usare Iliad, Ho. Mobile, Tiscali e gli altri operatori, non sarà possibile raggiungere i dispositivi client collegati a valle, neppure impostando correttamente il port forwarding: Port forwarding, cos’è e qual è la differenza con il port triggering.
Per procedere all’inoltro del traffico in arrivo sulle porte è infatti indispensabile possedere un indirizzo IP pubblico (sia esso statico o dinamico) altrimenti la corretta configurazione del modem router non porterà al risultato sperato.
La prima cosa da fare, quindi, è chiedere all’operatore di telecomunicazioni se potesse fornire un indirizzo IP pubblico e non quello “nattato“. Se l’indirizzo IP fornito (è possibile tentare anche per le numerazioni di telefonia mobile) fosse dinamico, basterà successivamente usare un servizio DDNS (Dynamic DNS) per associare un indirizzo mnemonico al nuovo IP ricevuto dal provider Internet ogni volta che questo dovesse cambiare: DynDNS DDNS gratuito: guida alla configurazione e all’utilizzo di No-IP.
Se non fosse possibile raggiungere direttamente, mediante IP pubblico, tutto ciò che ad esempio sta dietro un router 4G, è possibile risolvere il problema e superare il NAT del provider utilizzando una configurazione VPN client-server.
È infatti sufficiente allestire un server OpenVPN su un’altra rete di proprietà (“rete A”) e fare in modo che il router 4G connesso alla rete “nattata” si colleghi al componente server. Per automatizzare l’operazione, sarebbe opportuno scegliere router che integrano un client OpenVPN.
Così facendo, i dispositivi collegati alla “rete A” potranno vedere e collegarsi ai dispositivi connessi alla LAN remota posta dietro il router con IP “nattato” (“rete B”) e viceversa.
In alternativa, ci si può appoggiare a un server VPS o cloud creato sulla rete Internet e pubblicamente accessibile mediante IP. Installando il server di OpenVPN su tale macchina quindi configurando i client OpenVPN sul router della “rete B” e sulle altre reti o dispositivi singoli, si potrà accedere e amministrare vicendevolmente tutti i device collegati.
Il vantaggio della configurazione client-server basata sull’utilizzo di OpenVPN consiste nella possibilità di creare un tunnel cifrato tra i dispositivi remoti: non si dovrà neppure impostare il port forwarding e tutte le informazioni viaggeranno in forma cifrata.
Semmai, nel caso in cui si dovesse scegliere un server VPN o cloud, l’importante sarà mettere in sicurezza tale macchina evitando di esporre sull’IP pubblico alcuna porta, se non quella per la connessione al server di OpenVPN (di solito la 1194). Allo scopo si può usare il firewall integrato nel sistema operativo o, meglio ancora, installare un firewall (anche virtuale; si possono usare allo scopo pfSense o altri software similari) dinanzi alla macchina remota.
Nell’articolo Server OpenVPN con interfaccia grafica: come installarlo abbiamo spiegato come configurare OpenVPN su server Linux con una pratica GUI accessibile via web.
A seconda della propria preferenza per l’installazione di un server VPN (caricamento su un server VPS/cloud; installazione su router, NAS o altro dispositivo all’interno di una propria rete), suggeriamo la lettura dei seguenti approfondimenti:
– Connessione VPN in Windows con OpenVPN
– Server VPN, come crearlo usando un NAS
– Rendere più sicura la VPN sui server NAS Synology