Addio VPN complicate: accesso remoto sicuro con NetBird via SSH e RDP

Garantire un accesso remoto sicuro e pratico alle proprie infrastrutture, ad esempio a casa, in ufficio, in azienda, è sempre stato un punto critico, specialmente per chi desidera farlo senza configurare VPN complesse o client dedicati. Con la nuova release di NetBird, piattaforma open source basata su WireGuard, lo scenario cambia radicalmente: è ora possibile stabilire connessioni SSH o RDP (Desktop remoto) direttamente dal browser, senza alcun software aggiuntivo sul dispositivo dell’utente.

Un overlay network self-hosted, ora anche via Web

NetBird nasce come una rete overlay sicura e auto-ospitabile, costruita su WireGuard, che consente di connettere peer attraverso Internet in modo cifrato e con una gestione centralizzata delle policy di accesso.

La novità più significativa introdotta recentemente è il Browser Client, una soluzione che permette di aprire sessioni SSH o RDP direttamente da un’interfaccia Web. L’esperienza è fluida: basta autenticarsi sulla propria istanza NetBird e selezionare il nodo da raggiungere, il tutto senza installare nulla.

In pratica, NetBird trasforma il browser in un client VPN temporaneo, che instaura una connessione cifrata su richiesta verso la macchina target, poi la chiude automaticamente al termine della sessione di lavoro.

Architettura Browser Client: WebAssembly al centro

Il cuore della funzionalità Browser Client di NetBird è composto da una coppia di moduli WebAssembly (WASM), che riproducono in ambiente browser le capacità di un client NetBird completo:

• Modulo NetBird Client (Go/WASM). Implementa la logica WireGuard e la connettività P2P, adattata all’ambiente del browser. Tutto il traffico è incapsulato in un WebSocket e cifrato end-to-end con WireGuard, mantenendo la stessa sicurezza del client nativo.
• Modulo IronRDP (Rust/WASM). Gestisce la connessione RDP per l’accesso ai sistemi Windows. IronRDP è eseguito in una sandbox WASM e si integra con un proxy personalizzato, chiamato RDCleanPath, che funge da ponte tra il browser e la macchina remota tramite tunnel NetBird.

Questo design consente a NetBird di emulare un peer completo nel browser: il management server non funge da proxy, ma solo da entità di registrazione e distribuzione chiavi. La connessione effettiva avviene direttamente tra browser e macchina remota, senza intermediari.

Peer temporanei e policy dinamiche

Dal punto di vista gestionale, ogni sessione browser viene trattata come un peer temporaneo. Il browser genera una coppia di chiavi WireGuard, registra il peer sul management server e crea automaticamente una policy di accesso temporanea, valida solo per la destinazione impostata.

La specifica policy consente la comunicazione P2P sulle porte TCP 22 (SSH), 3389 (RDP) e 44338 (SSH embedded). Inoltre, è automaticamente rimossa dopo la chiusura della sessione o 10 minuti di inattività.

Grazie a queste accortezze, NetBird crea un microtunnel cifrato e monouso, garantendo accesso sicuro e isolamento totale delle connessioni.

Un accesso remoto moderno, flessibile e auto-ospitato

Con l’innovazione del Browser Client, NetBird si posiziona come una delle piattaforme più complete per chi cerca un’alternativa self-hosted e privacy-first alle VPN tradizionali o ai servizi cloud per la gestione di host remoti.

La possibilità di accedere via browser semplifica drasticamente la manutenzione di sistemi domestici, server e macchine virtuali, rendendo più immediato l’accesso occasionale da mobile o da postazioni pubbliche senza sacrificare la sicurezza.

Per chi gestisce un laboratorio domestico o un piccolo ambiente IT, la nuova architettura di NetBird rappresenta un equilibrio perfetto tra facilità d’uso, sicurezza crittografica e controllo locale.

Come abilitare l’accesso SSH tramite NetBird

NetBird dispone di un server SSH incorporato, eliminando la necessità di un daemon SSH esterno. In altre parole, non serve aprire la porta 22 né configurare sshd sul sistema remoto: il client NetBird stesso espone un endpoint SSH interno (porta 44338), accessibile solo attraverso la rete overlay e cifrato via WireGuard.

Per poter stabilire una connessione SSH, il client NetBird deve essere in esecuzione sul peer di destinazione. L’opzione “Allow SSH” deve essere abilitata sia sul peer locale sia nella Dashboard (interfaccia Web di gestione).

Sul sistema remoto (il nodo a cui si desidera accedere), basta fare clic sull’icona di NetBird, aprire il menu Settings, Allow SSH, e attivare l’opzione. Se si utilizza la riga di comando:

netbird down # se NetBird è già in esecuzione
netbird up --allow-server-ssh

Questo comando riavvia il servizio NetBird e attiva il server SSH integrato. Da questo momento, il peer accetta connessioni SSH provenienti da altri nodi autorizzati nella rete overlay.

Connessione SSH

Una volta abilitato il supporto SSH, si può accedere al sistema remoto in due modi: da riga di comando (CLI) oppure dal browser.

Nel primo caso, NetBird fornisce un’interfaccia SSH nativa tramite il comando netbird ssh <peer-name>.

Il client stabilisce automaticamente un tunnel WireGuard verso il peer target e apre una sessione SSH sul server integrato, senza passaggi intermedi.

Da browser, accedendo alla propria istanza NetBird (self-hosted o cloud), basta aprire la Dashboard, fare clic sul peer desiderato e selezionare Connect via SSH. Si apre una finestra terminale direttamente nel browser (basata su xterm.js), che esegue la sessione SSH attraverso il modulo WASM di NetBird, mantenendo la cifratura end-to-end via WireGuard.

Come avviare una sessione di Desktop remoto (RDP) da browser

NetBird consente anche di stabilire connessioni RDP (Remote Desktop Protocol) verso macchine Windows direttamente dal browser, utilizzando la stessa infrastruttura di rete cifrata e peer-to-peer.

Anche in questo caso, è necessario che il client NetBird sia attivo sul peer Windows di destinazione. Inoltre, l’utilizzo del protocollo RDP deve essere abilitato a livello di sistema operativo (NetBird non include un server RDP).

Per abilitare Desktop remoto in Windows, come indicato nel nostro articolo citato in precedenza, basta premere la combinazione di tasti Windows+R quindi digitare sysdm.cpl ,5. Scegliendo l’opzione Consenti connessioni remote al computer e spuntando la casella Consenti connessioni solo dai computer che eseguono Desktop remoto con Autenticazione a livello di rete, si attiva il server RDP sulla porta TCP/UDP 3389. È inoltre importante verificare che l’utente disponga dei permessi per collegarsi correttamente al server RDP.

Come funziona la connessione tramite browser

Quando si stabilisce una connessione RDP dal browser, il modulo IronRDP (Rust/WASM) incluso nel Browser Client, gestisce il rendering e la decodifica dei dati veicolati attraverso il protocollo RDP all’interno del browser Web. Il modulo RDCleanPath, integrato nel client NetBird, funge da ponte tra il browser e la macchina remota.

I pacchetti RDP viaggiano incapsulati nel tunnel WireGuard attraverso WebSocket TLS, assicurando la piena cifratura end-to-end. Il processo si svolge interamente lato browser, senza bisogno di plugin o software aggiuntivo.

È sufficiente accedere alla Dashboard di NetBird, selezionare il peer Windows configurato con RDP, fare clic su Connect via RDP, inserire le credenziali Windows quando richiesto.

La sessione remota si aprirà direttamente nella finestra del browser, con pieno supporto per mouse, tastiera e appunti (clipboard, in inglese).

Le immagini nell’articolo sono di NetBird.