Vuoi accesso remoto al server di casa senza aprire porte, e nel 2026 quasi tutte le guide ti portano nella stessa trappola: aprire le porte sul router è la soluzione sbagliata al problema giusto. Non per motivi di sicurezza astratti. Per motivi pratici: il tuo operatore usa CGNAT, il firewall aziendale blocca tutto tranne la 443, l'ISP cambia IP ogni 24 ore. NetBird risolve questo problema — piano free generoso, setup in dieci minuti, DNS privato, access control, architettura WireGuard P2P. Il tool funziona. Ci sono però alcuni angoli bui che nessuna guida di installazione ti mostra: DNS che smette di risolvere dopo un cambio rete, app Android che scarica la batteria, cloud dependency con storico di outage, licenza passata da BSD a AGPLv3. Nelle righe qui sotto trovi sia i problemi che il setup.
Accedere al server di casa da remoto: perché aprire le porte non funziona
Accedere a un server di casa da remoto sembrava un problema risolto negli anni '90: bastava aprire la porta 22, usare un client SSH, finito. Nel 2026, questa soluzione funziona solo se hai un IP pubblico statico e un router che ti lascia fare port forwarding — una condizione sempre meno comune. La causa principale è il CGNAT (Carrier-Grade NAT): molti operatori residenziali e quasi tutti i piani mobile assegnano IP privati condivisi tra decine di clienti. Il tuo router vede un IP interno che non puoi raggiungere dall'esterno nemmeno aprendo tutte le porte del mondo. Port forwarding: inutile. DDNS: inutile.
Le alternative tradizionali hanno tutte un compromesso: un server jump pubblico da mantenere, Cloudflare Tunnel che non supporta UDP e vieta traffico non-web sui public hostname, una VPN completa da configurare con chiavi, routing, firewall. Il problema non è trovare una soluzione — è trovarne una che non sia più complicata del problema originale. Se hai già un homelab strutturato, nel post sul networking homelab con VPN trovi il quadro completo.
Come funziona NetBird: la magia dietro il curl
NetBird è una VPN mesh peer-to-peer costruita su WireGuard. Non è una VPN tradizionale dove tutto il traffico passa per un server centrale — è una rete dove ogni device parla direttamente con gli altri, attraverso NAT, senza aprire porte. L'architettura ha quattro componenti: il Management Server (coordina la rete, distribuisce chiavi WireGuard, assegna IP nello spazio CGNAT 100.64.0.0/10), il
Iscriviti alla newsletter per ricevere i migliori articoli direttamente nella tua inbox.
Self-Hosting
Installare NAKIVO su Proxmox 9.1: setup Debian 12 in 3 dettagli
Tutorial end-to-end di NAKIVO Backup & Replication v11.2 su LXC Debian 12 in Proxmox VE 9.1. Tre minuti di install, 90 secondi di licenza, 3 dettagli del setup che ti fanno risparmiare mezz'ora: uno è asimmetria Debian/Ubuntu, due sono errori da primo tentativo.
Signal Server
(negoziazione tra peer E2E encrypted), il
Relay Server
(fallback QUIC/TCP 443 quando il P2P non riesce), e il
Client Agent
(gira su ogni device, genera il keypair locale — la chiave privata non lascia mai il device).
La parte interessante è il NAT traversal. Secondo la documentazione ufficiale, NetBird usa ICE (Interactive Connectivity Establishment) con una gerarchia di fallback: connessione diretta host-to-host → STUN → UDP hole punching → relay. L'architettura è simile a Tailscale — stessi principi STUN/TURN — ma l'implementazione è completamente separata, open source e autogestibile.
Il peer appare connesso nella dashboard NetBird pochi secondi dopo l'installazione dell'agent. Fonte: docs.netbird.io
Setup: da zero a connesso in dieci minuti
Il setup di NetBird è il punto di forza più solido del progetto. Prima cosa: creare un account su netbird.io — piano free, 5 utenti, 100 device, DNS privato, routing, access control, SSO incluso. Tutti i passi seguono la documentazione ufficiale di installazione Linux. Su un server Linux con browser disponibile, tre comandi e sei connesso:
bash
# 1. Installa l'agent
curl -fsSL https://pkgs.netbird.io/install.sh | sh
# 2. Autenticati (apre browser per OAuth)
netbird up
# 3. Verifica connessione
netbird status
ip addr show wt0
Per device headless — Raspberry Pi, VM Proxmox, server rack — il flusso è diverso: occorre generare una Setup Key dal dashboard, poi passarla direttamente al client. Dopo netbird up il device compare nel dashboard con il suo IP nella rete privata e la connessione P2P avviene automaticamente.
bash
# Setup headless con chiave (nessun browser necessario)
netbird up --setup-key <TUA_SETUP_KEY>
# Output atteso: Management: Connected, Signal: Connected, Peers count: N
# Docker
docker run --network host --privileged -e NB_SETUP_KEY=<KEY> netbirdio/netbird:<TAG>
Sul device client (laptop, macOS, Windows): scarica il client da netbird.io/download, installa, esegui netbird up. I due device sono nella stessa rete virtuale — da quel momento funziona SSH diretto senza port forwarding:
Come per qualsiasi tool di rete, ci sono aspetti da conoscere prima di affidarsi a NetBird in produzione. Ecco i più rilevanti dalla nostra esperienza e dalla documentazione ufficiale.
DNS privato. Il DNS privato di NetBird (che permette di raggiungere i device con nomi come server.netbird.cloud invece dell'IP) può smettere di risolvere dopo un cambio rete o una sospensione del dispositivo. È un comportamento noto e il workaround è semplice: netbird down && netbird up. La connettività IP peer-to-peer non è affettata.
La connectivity IP funziona, il nome host non risolve. Workaround: netbird down && netbird up. Non elegante, ma funziona.
Android. Il client Android è funzionale, ma su alcuni device può avere consumo batteria più elevato rispetto ad altre VPN. Per chi non usa dispositivi F-Droid l'app non è su quello store — è disponibile solo sul Play Store ufficiale.
Cloud dependency. Il piano gestito dipende dall'infrastruttura cloud NetBird: il team ha documentato pubblicamente un'interruzione di circa 50 minuti nel gennaio 2025 (post-mortem su GitHub). Per chi ha esigenze di alta disponibilità, il self-host elimina questa variabile: il Management Server è sotto il tuo controllo.
Licenza AGPLv3. NetBird è passato da licenza BSD-3 ad AGPLv3. Per uso personale o team fino a 5 utenti non cambia nulla in pratica. Chi vuole integrare NetBird in un prodotto commerciale deve verificare la compatibilità con AGPLv3 — in quel caso il piano Business o una licenza commerciale è la via corretta.
Per uso personale o team piccolo, AGPLv3 non cambia nulla in pratica. Il problema nasce se integri NetBird in un prodotto commerciale — in quel caso la AGPLv3 richiede che tutto il codice modificato sia rilasciato. Il cambio segnala che NetBird sta costruendo un business model attorno al progetto. Non è necessariamente negativo — è un segnale da tenere a mente se punti alla sovereignty totale.
Alternative e self-host: cosa scegliere
NetBird non è l'unica opzione per accesso remoto senza aprire porte. Tailscale è la scelta più nota — client mobile più stabili, ecosistema più maturo — ma il piano free si ferma a 6 utenti con uso non-commerciale obbligatorio. ZeroTier arriva a 25 device sul free. Cloudflare Tunnel non supporta UDP e vieta traffico non-web sui public hostname: ottimo per un singolo servizio HTTPS, inutile per SSH. Abbiamo già analizzato questo confronto nel post Tailscale vs NetBird per il proprio homelab.
ToolNetBird
Free plan5 utenti, 100 device
UDP/SSH✓
Self-host✓ illimitato
Limite principaleDNS intermittente su alcuni client, Android instabile
ToolTailscale
Free plan6 utenti, 100 device
UDP/SSH✓
Self-host✓ (Headscale)
Limite principale6 utenti free, uso commerciale vietato
ToolCloudflare Tunnel
Free planIllimitato
UDP/SSH✗ (solo HTTP/S)
Self-host✗
Limite principaleNo UDP, no SSH, no video streaming
ToolZeroTier
Free plan25 device
UDP/SSH✓
Self-host✓
Limite principaleLimite device, sviluppo meno attivo
Tool
Free plan
UDP/SSH
Self-host
Limite principale
NetBird
5 utenti, 100 device
✓
✓ illimitato
DNS intermittente su alcuni client, Android instabile
Tailscale
6 utenti, 100 device
✓
✓ (Headscale)
6 utenti free, uso commerciale vietato
Cloudflare Tunnel
Illimitato
✗ (solo HTTP/S)
✗
No UDP, no SSH, no video streaming
ZeroTier
25 device
✓
✓
Limite device, sviluppo meno attivo
La scelta concreta: se hai un team fino a 5 persone e vuoi qualcosa che funziona senza toccare il router, NetBird cloud è la risposta più diretta. Chi viene da Tailscale può trovare utile il post sulla migrazione da Tailscale a NetBird in 12 minuti — ci vuole davvero meno di un quarto d'ora.
Il self-host di NetBird elimina la dipendenza dal vendor: nessun outage esterno, nessun limite di utenti o device, i dati non passano per infrastruttura NetBird. Dal punto di vista GDPR, con il self-host su VPS europeo i dati restano nell'EU senza eccezioni. A partire da v0.65 (18 febbraio 2026), il management server è un singolo binario combinato — non più container separati da orchestrare. Per 5-10 peer, una CX11 su Hetzner è sufficiente. La stessa versione introduce un reverse proxy built-in che espone servizi interni via custom domain con TLS automatico e autenticazione SSO, senza richiedere che l'utente finale installi il client NetBird.
Il trade-off è onesto: con il self-host ottieni controllo totale, ma ti fai carico degli aggiornamenti, del backup del database, della disponibilità del server di management. Se quel server va giù, i peer già connessi continuano a comunicare tra loro — la rete P2P regge — ma non puoi aggiungere nuovi device finché il management non torna up. È lo stesso tipo di compromesso dell'outage cloud, solo che stavolta è colpa tua se non hai gestito il failover.
NetBird funziona, il piano free è tra i più generosi della categoria, e l'architettura P2P WireGuard è solida. Il setup richiede dieci minuti, non una giornata. Per chi vuole accesso remoto al proprio server di casa senza aprire porte e senza spendere, è la scelta più diretta disponibile oggi.
