Controllare router a distanza: come fare

Buona parte dei router acquistati in proprio oppure forniti dagli operatori di telecomunicazioni permette di abilitare il controllo remoto.
Agendo sull’impostazione Gestione remota disponibile nell’interfaccia di amministrazione del router, di solito da rete locale digitando 192.168.1.1 o 192.168.0.1 nella barra degli indirizzi del browser, oppure nell’app fornita dal produttore del router o dal provider Internet.

Gli approcci possibili per gestire router a distanza e controllare da remoto il dispositivo sono due: utilizzo del cloud oppure connessione a una porta in ingresso aperta sul router.

Come controllare il router da remoto aprendo un porta in ingresso

Quando compaiono schermate come quella riprodotta in figura significa che per collegarsi al router è necessario aprire una porta in ingresso ed esporla pubblicamente sulla rete Internet.

In altre parole per collegarsi al router da remoto è necessario conoscerne l’indirizzo IP pubblico oppure l’indirizzo mnemonico associato usando un servizio DDNS (Dynamic DNS). È inoltre necessario conoscere la porta che è stata aperta in ingresso e che permette di accedere a distanza alla schermata di autenticazione (login) del router.
Di solito vengono utilizzate la porta TCP 80, 8080, 443 oppure 8443 a seconda del produttore del router. La porta da utilizzare per le connessioni remote può ovviamente essere personalizzata dall’utente.

Abilitare il protocollo HTTPS è sempre consigliabile e permette stabilire una connessione con il router a distanza in modo sicuro: in questo modo nessun dato, come le credenziali di autenticazione, potrà essere sottratto da soggetti terzi.
L’uso di HTTPS può essere attivato anche senza usare un certificato digitale: digitando sul sistema remoto l’indirizzo IP pubblico del router remoto si riceverà il messaggio d’allerta ERR_CERT_AUTHORITY_INVALID e si vedrà comparire Sito non sicuro ma lo scambio dei dati avverrà comunque in sicurezza.

Come nell’esempio in figura, attivando DDNS o facendo puntare all’IP pubblico del router un proprio nome a dominio (ad esempio un terzo o un quarto livello) si può richiedere e associare all’indirizzo mnemonico un certificato digitale Let’s Encrypt. In questo modo la connessione al pannello di amministrazione del router avverrà senza mostrare neppure l’errore ERR_CERT_AUTHORITY_INVALID (lucchetto chiuso nella barra degli indirizzi).

È bene controllare il router a distanza aprendo una porta in ingresso?
Risposta secca: di solito non lo consigliamo a meno che non si autorizzino alla connessione da remoto singoli client il cui IP pubblico non cambia mai (indirizzo IP statico).
È vero che i produttori di router aggiornano periodicamente il firmware dei loro dispositivi correggendo eventuali vulnerabilità di sicurezza. Ma ci si ricorda di applicarli tempestivamente? Si è davvero sicuri di aver impostato una password sufficientemente sicura a protezione del router per evitare attacchi brute force? Si è consapevoli che aprendo una porta in ingresso sul router il dispositivo la sua presenza sarà visibile a qualunque tentativo di scansione da parte di soggetti sconosciuti e su motori di ricerca come Shodan?

Come accedere al router a distanza via cloud

Alcuni produttori di dispositivi e in particolare alcuni operatori Internet forniscono un’applicazione che permette di gestire almeno una parte delle funzioni del router a distanza appoggiandosi al cloud.

In questo caso non viene aperta alcuna porta in ingresso sul router: è il dispositivo che, con la gestione remota attiva, si collega a un server del provider che funge a sua volta da intermediario con i dispositivi remoti dai quali si vuole stabilire un collegamento.

Questo tipo di approccio è generalmente considerato più sicuro perché sull’IP pubblico assegnato al router non ci sono porte aperte.
Lo schema cloud, inoltre, non presuppone che l’utente debba mai conoscere l’indirizzo del router.

Molti utenti tendono però a storcere comunque la bocca preferendo svincolare il router installato in casa, in ufficio o in azienda da qualunque legame stretto con il provider prescelto. Quanto avvenuto con il protocollo TR-069 attivo qualcosa insegna.

Controllare router a distanza configurando un server VPN

Il miglior modo per controllare un router a distanza è probabilmente configurare e attivare un server VPN sul dispositivo stesso (quando ciò è permesso dal produttore) oppure abilitarlo su un altro sistema connesso in rete locale (avendo poi cura di impostare correttamente il port forwarding dal router all’IP del dispositivo che assolve il ruolo di server VPN).

È inoltre bene scegliere router (alcuni router supportano di default la configurazione di un server VPN) o dispositivi connessi in LAN che permettano di allestire server VPN sicuri basati su OpenVPN, Wireguard o L2TP IPSec.
La scelta del protocollo VPN incide non solo sulla sicurezza ma anche sulle prestazioni.

Il vantaggio di questa soluzione è che collegandosi da remoto con un client VPN (anche in questo caso è necessario conoscere l’IP pubblico del router e attivare DDNS ove il provider rilasci IP dinamici e non un indirizzo statico che non cambia nel tempo) si potrà amministrare il router come se si fosse fisicamente collegati alla rete locale e gestire qualunque altro device connesso in LAN (è ad esempio possibile accedere alle cartelle condivise in rete locale).

Una volta stabilita la connessione via VPN l’accesso al router da remoto sarà possibile digitandone l’IP locale nella barra degli indirizzi del browser.