Trasparenza: GL.iNet è sponsor di homelabz e mi ha inviato il Beryl 7 (GL-MT3600BE) come sample. La guida resta utile e onesta, limiti inclusi. NetBird e Tailscale, che cito, sono i miei strumenti quotidiani, non sponsor di questo pezzo.
Questa non è una recensione a benchmark. È una guida d'uso. Il prodotto è il mezzo, l'architettura è il contenuto: come ti porti dietro un perimetro fidato quando la rete sotto di te è ostile, e come da lì raggiungi l'homelab di casa senza esporre niente.
Perché la Wi-Fi dell'hotel è una rete ostile
Quando ti colleghi alla Wi-Fi di un hotel, di un coworking o di una fiera, ti stai infilando in una LAN condivisa con sconosciuti, gestita da chi non ha alcun interesse per la tua sicurezza. I problemi concreti:
Nessun isolamento client: spesso tutti i device sullo stesso SSID si vedono tra loro. Il tuo laptop è esposto al portatile del tizio della stanza accanto.
Sniffing e captive portal: il traffico in chiaro è intercettabile, e il portale di login può fare deep packet inspection o reindirizzarti dove vuole.
DNS ostile: la rete ti impone i suoi resolver, che possono loggare, filtrare o dirottare le query.
Device-limit: molti captive portal ammettono un solo device per credenziale. Tu di device ne hai cinque.
Cosa vuoi davvero ottenere
Tre obiettivi, in ordine:
Una tua subnet isolata dietro NAT, così i tuoi device non parlano direttamente con la LAN ostile.
iperf3 homelab: come testiamo ogni switch, NAS e VPN prima di recensirli
Ogni prodotto che entra nel nostro lab passa per 4 fasi di benchmark. iperf3 è lo strumento che usiamo
Un tunnel cifrato verso casa, applicato a tutto il traffico.
I tuoi device che si vedono tra loro come se fossero sulla LAN di casa.
Il punto è che non vuoi configurare la VPN su ogni singolo device, ogni volta, su ogni rete diversa. Vuoi farlo una volta, a monte.
La soluzione in una frase
Il travel router crea la TUA Wi-Fi, si aggancia all'uplink ostile in modalità repeater e instrada tutto in un tunnel. Tu colleghi i device alla rete del router e basta: sono già dentro il perimetro.
Io uso un GL.iNet Beryl 7 (GL-MT3600BE), il loro travel router dual-band Wi-Fi 7 (802.11be), successore del Beryl AX. Gira il firmware GL.iNet 4.x basato su OpenWrt, e questo è ciò che lo rende utile per un homelabber: supporta WireGuard e OpenVPN (client e server), Tailscale e ZeroTier a livello router, AdGuard Home, modalità repeater e Multi-WAN con failover.
Il pezzo grosso: WireGuard a livello router
Questa è l'idea architetturale che giustifica tutto. Configuri il WireGuard Client sul router, e da quel momento tutto il traffico dei device collegati passa nel tunnel — senza toccare i singoli device. Il laptop, lo smartphone, la TV dell'hotel-room, la console del collega: tutto esce cifrato dall'unico peer che è il router.
GL.iNet dichiara per il Beryl 7 velocità VPN fino a 1100 Mbps su WireGuard e fino a 1000 Mbps su OpenVPN (con OpenVPN-DCO), via Ethernet. Sono numeri teorici/marketing del produttore, misurati in condizioni ideali — non li ho verificati io e su una Wi-Fi da hotel non li vedrai mai. Il dato che conta è quello reale, sul mio tunnel verso casa.
Due strade, a seconda di come è fatto il tuo accesso remoto.
Strada A — overlay mesh (il mio daily driver)
Io vivo su un overlay self-hosted (NetBird, dopo aver migrato da Tailscale). Il Beryl 7 supporta ufficialmente Tailscale a livello router dal firmware 4.2: il router entra nel tailnet e può fare da subnet router, esponendo al resto della rete le risorse della LAN dietro di lui (dopo aver approvato le route). Dal firmware 4.9 può anche fare da exit node — ma verifica la versione effettiva sulla tua unità prima di darlo per scontato.
Tradotto: il router diventa un nodo del mio overlay, e da fuori raggiungo i container LXC del mio homelab Proxmox come se fossi sul divano di casa. Sul perché ho lasciato Tailscale per NetBird ho scritto qui, e sul caso CGNAT con i peer relay c'è questa guida.
Strada B — WireGuard puro verso il firewall
Se preferisci niente overlay, configuri il WireGuard Client del Beryl 7 come peer del WireGuard server sul tuo firewall di casa. È la stessa logica con cui tratto VLAN, firewall e VPN nel post sull'architettura di rete dell'homelab: un perimetro, regole esplicite, niente fiducia implicita.
Quando basta Tailscale sul laptop e quando serve il travel router
Confronto onesto, perché non sempre il router è la risposta.
Dove vince il client VPN sul singolo device: se viaggi solo col laptop, installare Tailscale o WireGuard direttamente sopra è più semplice, non porti hardware in più e non hai un secondo punto di guasto. Per un solo device ben configurabile, il travel router è overkill.
Dove vince il travel router:
Più device insieme, configurati una volta sola a monte.
Device che non puoi configurare: TV, console, e-reader, gadget IoT che non sanno cosa sia una VPN.
Captive portal con device-limit: in repeater verso l'hotel appari come UN SOLO device, quindi un login copre tutta la tua rete.
Isolamento dalla LAN ostile: i tuoi device stanno dietro il NAT del router, non in mezzo agli estranei.
Captive portal e MAC: la parte fastidiosa
In modalità repeater il Beryl 7 si aggancia alla Wi-Fi dell'hotel e ridistribuisce la propria: verso l'uplink ostile appare come un singolo client. GL.iNet dichiara di poter attraversare i captive portal con un setup una tantum. Nella pratica spesso funziona, non sempre: portali con re-autenticazione periodica o walled garden aggressivi sanno essere ostici.
Sicurezza: tre regole che non negozio
DNS dentro il tunnel. Non lasciare che la query DNS esca verso i resolver dell'hotel. Forza il DNS nel tunnel e fai girare AdGuard Home sul router, così blocchi ad e tracker per tutti i device e non leak-i le richieste alla rete ostile. (Il DNS leak è una buona pratica generale di igiene VPN, non una magia specifica del Beryl 7.)
Non esporre servizi di casa DAL travel router. Niente port forwarding verso l'esterno su una rete ostile: è la direzione sbagliata. Il tunnel deve essere in uscita verso casa, mai un servizio in ascolto verso la LAN dell'hotel.
Toggle hardware per la VPN. Il Beryl 7 ha uno switch fisico programmabile: assegnalo al WireGuard Client, così accendi e spegni il tunnel senza entrare nell'interfaccia. Pratico, e ti ricorda visivamente lo stato.
Setup pratico, in breve
Alimenta il router via USB-C PD (consumo sotto i 12 W) e collegati alla sua Wi-Fi di default.
In repeater mode, aggancialo alla Wi-Fi dell'hotel; gestisci il captive portal e imposta il MAC su factory se serve la whitelist.
Configura il WireGuard Client (verso casa o verso il tuo overlay) e applicalo come default route.
Attiva AdGuard Home e forza il DNS nel tunnel.
Collega i tuoi device alla rete del router. Sono dentro il perimetro.
Wi-Fi: BE3600 (688 Mbps a 2.4 GHz + 2882 Mbps a 5 GHz teorici), con MLO e 4K QAM. Fino a 120+ device concorrenti.
Porte: 2x 2.5GbE, 1x USB 3.0 Type-A (tethering/storage). Uplink via Ethernet, repeater Wi-Fi, USB tethering o modem cellulare, con Multi-WAN.
VPN dichiarata dal produttore (non misurata da me): WireGuard fino a 1100 Mbps, OpenVPN-DCO fino a 1000 Mbps. Compatibile con 30+ provider VPN.
Formato: 205 g, 120 x 83 x 34 mm. Sta in una tasca della valigia.
Prezzo: 129,99 USD sullo store ufficiale GL.iNet (US). Il prezzo EUR/IVA inclusa non l'ho verificato in questa sessione.
Verdetto
Come dico spesso: "la rete di cui non ho il controllo va trattata come internet pubblica, non come LAN" — ed è esattamente per questo che un travel router in valigia ha senso.
