Cos'è il VPN passthrough e come funziona?

Cos’è un VPN passthrough?

Un VPN passthrough è un'impostazione del router che consente al traffico VPN in uscita di attraversare il firewall NAT del router senza essere bloccato: quando un dispositivo della tua rete locale avvia una connessione verso un server VPN esterno, questa funzione assicura che i pacchetti crittografati non vengano scartati lungo il percorso. Il punto importante da capire è che, con il VPN passthrough, il router stesso non funge da endpoint VPN: non stabilisce né termina alcuna connessione, ma si limita a lasciare "passare attraverso" il traffico generato dai dispositivi collegati, che restano i veri protagonisti della connessione.

Questo è ciò che distingue un router con VPN passthrough da un vero e proprio router VPN, il quale invece esegue direttamente un client VPN e termina la connessione a livello di router, crittografando e instradando nel tunnel tutto il traffico di ogni dispositivo collegato senza bisogno di configurare nulla sui singoli apparecchi.

Ma, dunque, a cosa serve la VPN in un router? Mentre avere un router con VPN passthrough significa semplicemente permettere al traffico VPN dei tuoi dispositivi di transitare verso l'esterno (la VPN va attivata e gestita su ciascun dispositivo, mentre il router resta neutrale), avere un router con client VPN integrato significa che è il router stesso a stabilire la connessione e a proteggere automaticamente tutti i dispositivi collegati, anche quelli che non supportano nativamente un'app VPN come smart TV o console di gioco; in pratica, il primo si limita a non ostacolare la VPN, il secondo la fornisce attivamente a tutta la rete. Se vuoi approfondire questi aspetti, puoi leggere i nostri approfondimenti su cos'è una VPN e sui diversi tipi di VPN.

Come funziona il VPN passthrough?

Il VPN passthrough funziona consentendo al client VPN di connettersi a un server VPN esterno alla rete locale. I client VPN utilizzano protocolli che incapsulano le richieste di connessione, ciascuna delle quali passa attraverso il Network Address Translation (NAT) del router. Di seguito, ti spieghiamo come.

NAT e traffico VPN

Il NAT (Network Address Translation) è una tecnologia che il router utilizza per tradurre gli indirizzi IP privati dei dispositivi della tua rete locale in un unico indirizzo IP pubblico, permettendo così a più device di condividere la stessa connessione a internet. Per svolgere questo compito, il NAT ha bisogno di leggere alcune informazioni contenute nei pacchetti di dati in transito, in modo da sapere a quale dispositivo della rete inoltrare le risposte provenienti dall'esterno.

Il problema è che i protocolli VPN meno recenti, come PPTP, L2TP o IPsec, crittografano anche le intestazioni dei pacchetti (i cosiddetti header), proprio quelle porzioni che il NAT dovrebbe consultare per gestire correttamente la connessione: non riuscendo più a leggere le informazioni di cui ha bisogno, il router non sa come trattare quei pacchetti e finisce per scartarli. Il risultato è che la connessione VPN non si stabilisce affatto oppure cade dopo pochi istanti, ed è esattamente questo conflitto che il passthrough risolve.

Come il passthrough risolve il problema

I due protocolli "storici" più colpiti dal problema del NAT sono il PPTP (Point-to-Point Tunneling Protocol), uno dei primi protocolli VPN mai sviluppati, e l'IPsec (Internet Protocol Security), spesso usato in combinazione con L2TP. Sono proprio questi, nati quando il NAT non era ancora così diffuso, a richiedere il passthrough per funzionare correttamente.

Per superare il conflitto con il NAT, il VPN passthrough ricorre a tecniche specifiche a seconda del protocollo utilizzato: nel caso del PPTP si appoggia al GRE (Generic Routing Encapsulation), mentre per IPsec entra in gioco il NAT-T (NAT Traversal). Entrambi i meccanismi hanno lo stesso obiettivo, ovvero permettere ai pacchetti crittografati di attraversare il NAT senza essere bloccati. In pratica, invece di tentare di leggere o modificare le intestazioni crittografate (operazione che, come abbiamo visto, farebbe fallire la connessione), il router riconosce il traffico come appartenente a un tunnel VPN e lo lascia semplicemente transitare. Il passthrough, quindi, insegna al router a "fidarsi" di quei pacchetti e a inoltrarli intatti verso il server VPN, senza che il firewall interferisca con il contenuto crittografato della comunicazione.

Tipi di VPN passthrough

Come abbiamo visto, il VPN passthrough è necessario solo se il client VPN utilizza uno dei protocolli VPN meno recenti, ovvero PPTP e L2TP , oppure IPsec . Il passthrough per ciascun protocollo funziona in modo leggermente diverso, seguendo regole differenti per consentire una connessione crittografata alle reti remote. Vediamole insieme.

Passthrough PPTP

Il PPTP (Point-to-Point Tunneling Protocol) utilizza il protocollo GRE per incapsulare i dati, un tipo di traffico che il NAT non è in grado di gestire nativamente. È qui che entra in gioco il pptp vpn passthrough: questa impostazione permette al router di riconoscere il traffico incapsulato tramite GRE e di inoltrarlo correttamente verso il server VPN, invece di scartarlo. È importante però una precisazione: il PPTP è ormai considerato un protocollo obsoleto e presenta vulnerabilità di sicurezza note. Per questo motivo non è consigliato per comunicazioni che richiedono una reale protezione; se trovi ancora l'opzione PPTP passthrough tra le impostazioni del router, è perché viene mantenuta solo per compatibilità con vecchie configurazioni.

Passthrough IPSec

L'IPsec (Internet Protocol Security) si basa sull'ESP (Encapsulating Security Payload), un componente che crittografa l'intero pacchetto, intestazioni comprese. Proprio per questo il NAT, non riuscendo a leggere le informazioni di cui ha bisogno, non sa come inoltrare i pacchetti. Il passthrough IPsec risolve il problema attivando il NAT-T (NAT Traversal), una tecnica che incapsula i pacchetti ESP all'interno di pacchetti UDP, rendendoli così compatibili con il NAT e permettendone il transito. Il principale vantaggio dell'IPsec è la crittografia robusta che offre, motivo per cui è ancora ampiamente utilizzato; di contro, può risultare più complesso da configurare rispetto ad altre soluzioni. Se vuoi approfondire il funzionamento di questo protocollo, puoi consultare la guida all’IPSec VPN.

Passthrough L2TP

Il L2TP VPN (Layer 2 Tunneling Protocol) viene quasi sempre abbinato a IPsec, e il passthrough L2TP serve appunto a consentire al traffico L2TP/IPsec di attraversare il NAT senza essere bloccato. Va sottolineato un aspetto fondamentale: il L2TP da solo non fornisce alcuna crittografia, ma si limita a creare il tunnel; per la sicurezza si affida interamente a IPsec, ed è proprio questa combinazione (L2TP/IPsec) a garantire la protezione dei dati.

Hai bisogno del VPN passthrough?

La risposta dipende interamente dal tipo di protocollo VPN che utilizzi, e la distinzione è netta: i protocolli più datati ne hanno bisogno, quelli moderni no.

Quando ti serve il VPN passthrough. Hai bisogno di questa funzione solo se utilizzi i protocolli VPN più datati, come PPTP, L2TP e IPsec, che da soli non sono in grado di gestire il NAT. In questi casi, senza il passthrough attivo sul router, la connessione VPN rischia di non stabilirsi affatto o di cadere continuamente.

Quando non ti serve. Se invece utilizzi i protocolli VPN moderni, il passthrough diventa superfluo. Protocolli come OpenVPN, IKEv2 e NordLynx (l'implementazione proprietaria di WireGuard® sviluppata da NordVPN) sono progettati per funzionare in modo trasparente attraverso il NAT, senza richiedere alcuna configurazione di passthrough sul router. Il protocollo NordLynx, in particolare, è in grado di attraversare il NAT da solo, senza bisogno del passthrough sul router, garantendo connessioni stabili e veloci senza alcun intervento manuale.

In pratica, la maggior parte degli attuali fornitori VPN, NordVPN compreso, si affida a protocolli che non hanno alcun bisogno del VPN passthrough. Per la stragrande maggioranza degli utenti questo significa una cosa molto semplice: non doversi mai preoccupare di abilitare o configurare questa impostazione, perché la connessione funziona senza problemi grazie alle tecnologie integrate nei protocolli più recenti. Il passthrough, in sostanza, resta rilevante solo in scenari legacy o in reti che si appoggiano ancora a infrastrutture datate.

Come abilitare il VPN passthrough sul router

Sapere come abilitare il VPN passthrough sul router è più semplice di quanto si pensi, anche perché nella maggior parte dei dispositivi moderni la funzione è già attiva per impostazione predefinita. In linea generale, per verificarla o riattivarla devi seguire questi passaggi:

1. 1.Accedi al pannello di amministrazione del router, digitando nella barra degli indirizzi del browser l'indirizzo IP del dispositivo (in genere 192.168.1.1 oppure 192.168.0.1).
2. 2.Effettua il login con le credenziali di amministratore (username e password, spesso riportati su un'etichetta applicata al router stesso).
3. 3.Vai alla sezione corretta, che a seconda della marca può chiamarsi "Sicurezza", "Firewall" o "Impostazioni avanzate".
4. 4.Individua le impostazioni del passthrough VPN, che potrebbero essere elencate separatamente come passthrough IPsec, passthrough PPTP e passthrough L2TP.
5. 5.Abilita le opzioni desiderate in base al protocollo che intendi utilizzare.
6. 6.Salva le impostazioni e riavvia il router se richiesto.

Tieni presente che i passaggi esatti e la denominazione dei menu variano a seconda della marca e del modello: sui router TIM Hub e in generale sui dispositivi TIM, ad esempio, se cerchi l'opzione di VPN passthrough router TIM o TIM Hub VPN passthrough e non la individui subito conviene controllare la sezione delle impostazioni avanzate del modem o, qualora la voce non fosse visibile, contattare l'assistenza TIM, dato che alcuni firmware dei dispositivi forniti dall'operatore limitano l'accesso a queste opzioni; lo stesso vale per il Vodafone Station VPN passthrough, poiché i router forniti dai fornitori internet possono offrire opzioni di passthrough limitate o gestite automaticamente, senza un controllo manuale completo. Sui router di marche come TP-Link, Netgear e su sistemi come pfSense, invece, le impostazioni si trovano in genere nei menù dedicati al firewall o alla sicurezza, con un grado di personalizzazione solitamente maggiore.

Vale infine la pena ricordare che dallo stesso pannello di configurazione puoi attivare e disattivare il passthrough. Questa scelta è utile se vuoi impedire del tutto le connessioni VPN sulla tua rete: disabilitando il passthrough, infatti, blocchi il transito del traffico VPN attraverso il router. Se invece il tuo obiettivo non è semplicemente lasciar passare la VPN, ma far sì che sia il router stesso a stabilire la connessione e a proteggere tutti i dispositivi collegati, ti consigliamo di consultare la guida dedicata su come configurare una VPN sul router.

VPN passthrough e router VPN a confronto

Sebbene possano sembrare concetti simili, VPN passthrough e router VPN svolgono due ruoli molto diversi.

• Con il VPN passthrough, il router si limita a lasciar passare il traffico VPN senza intervenire: la connessione VPN viene stabilita e gestita direttamente sul singolo dispositivo (computer, telefono, tablet, ecc.), su cui devi installare e configurare un'app VPN. Per capire questo punto è utile ricordare come funziona una VPN, ovvero creando un tunnel crittografato tra il dispositivo e il server VPN: nel caso del passthrough, questo tunnel parte proprio dal singolo dispositivo, mentre il router resta un semplice tramite trasparente.
• Con un router VPN, invece, è il router stesso a stabilire e gestire la connessione VPN: una volta configurato, protegge automaticamente tutto il traffico di ogni dispositivo collegato alla rete, anche quelli che non supportano nativamente un'app VPN, come smart TV, console di gioco o dispositivi smart home.

Quanto a quando scegliere l'una o l'altra opzione, la regola è abbastanza intuitiva. Il VPN passthrough non richiede alcuna configurazione del router oltre all'abilitazione dell'impostazione (che, peraltro, è spesso già attiva di default), ed è perfetto se intendi usare la VPN su uno o pochi dispositivi specifici, soprattutto se ti affidi a protocolli ormai datati. Un router VPN, al contrario, offre una protezione a livello di rete molto più completa, proteggendo tutti i dispositivi collegati in un colpo solo, ma in cambio richiede una configurazione più articolata e un router compatibile.

A tal proposito, vale la pena ricordare che NordVPN può essere configurata direttamente su router compatibili, così da estendere la protezione a tutti i dispositivi connessi senza doverla attivare singolarmente su ciascuno.

VPN passthrough e hotspot mobile

Quando utilizzi la VPN per dispositivi mobili, il comportamento del passthrough dipende dall'implementazione del NAT da parte del dispositivo che condivide la connessione. La buona notizia è che, sia su Android sia su iPhone, raramente dovrai preoccuparti di questa impostazione: le moderne app VPN installate sui dispositivi collegati a un hotspot utilizzano in genere protocolli come OpenVPN, IKEv2 e WireGuard®, tutti progettati per gestire il NAT traversal in modo nativo. Per questo motivo, quando cerchi informazioni online su “android hotspot vpn passthrough” o su “iphone hotspot vpn passthrough”, la risposta è quasi sempre la stessa: sia che tu condivida la connessione tramite l'hotspot di un dispositivo Android sia tramite quello di un iPhone, nella maggior parte dei casi la VPN si stabilisce senza intoppi e non richiede alcun intervento manuale.

Può capitare, tuttavia, che in alcune situazioni la connessione VPN fallisca o cada quando ti connetti a un hotspot mobile. Se ti trovi in questa condizione, ci sono un paio di accorgimenti utili da provare:

• Cambia protocollo VPN all'interno dell'app: passare, ad esempio, da un protocollo a un altro (come IKEv2 o WireGuard/NordLynx) può risolvere eventuali incompatibilità con la rete dell'operatore.
• Controlla le impostazioni APN dell'hotspot: una configurazione errata o restrittiva dell'Access Point Name può talvolta interferire con il traffico VPN.

Un discorso a parte merita il VPN passthrough su Starlink. Le connessioni satellitari di Starlink utilizzano il CGNAT (Carrier-Grade NAT), una forma di NAT su larga scala gestita direttamente dal provider, che in alcuni casi può complicare le connessioni VPN. Anche in questo scenario, però, vale la stessa regola: i protocolli VPN moderni sono in grado di attraversare il CGNAT da soli, senza bisogno di configurare alcun passthrough, garantendo nella maggior parte dei casi una connessione stabile anche su rete satellitare.

Considerazioni sulla sicurezza del VPN passthrough

Una domanda lecita riguarda l'impatto del passthrough sulla sicurezza della rete. Abilitare il VPN passthrough non compromette di per sé la sicurezza della tua rete, perché questa funzione si limita a consentire il transito del traffico VPN attraverso il router, senza intervenire sul contenuto crittografato della connessione. In altre parole, il passthrough non "apre porte" pericolose: lascia semplicemente passare un traffico che è già protetto a monte dal dispositivo dell'utente.

Il punto critico non è quindi il passthrough, ma il protocollo per cui lo abiliti. Attivare il passthrough per protocolli ormai datati come il PPTP può infatti introdurre delle vulnerabilità, dato che il PPTP presenta debolezze di sicurezza note e una crittografia VPN ritenuta oggi inadeguata. Il rischio, in questo caso, non deriva dal fatto di lasciar passare il traffico, ma dal protocollo debole che si sceglie di utilizzare.

Per questo motivo, la raccomandazione è sempre la stessa: affidati a protocolli VPN moderni come OpenVPN, IKEv2/IPsec e WireGuard®/NordLynx, che offrono una crittografia VPN molto più robusta e che, oltretutto, non richiedono alcun passthrough per funzionare. In questo modo ottieni il meglio su entrambi i fronti, ovvero una connessione sicura e una configurazione più semplice.

Infine, un consiglio pratico in ottica di sicurezza VPN: se il passthrough non ti serve, perché tutti gli utenti della rete utilizzano già protocolli moderni, puoi tranquillamente disabilitarlo. Disattivare le opzioni di passthrough che non utilizzi è una buona abitudine, poiché contribuisce a ridurre la superficie di attacco della rete, eliminando funzioni potenzialmente sfruttabili e che, nel tuo caso, risulterebbero comunque inutili.