Trasparenza: Surfshark è sponsor di homelabz e mi ha dato un account premium. Il giudizio è mio e indipendente: infatti ti spiego anche dove NON ti serve. NetBird, Tailscale, WireGuard e Pangolin, che cito, sono strumenti che uso io, non sponsor di questo pezzo.
Partiamo dalla provocazione, perché me la sono fatta anch'io. Se ti sei tirato su un overlay mesh — NetBird, Tailscale, o WireGuard puro — la VPN commerciale ad abbonamento sembra una cosa per gente che non sa cosa sia un tunnel. E per buona parte di ciò che fa un homelab è esattamente così: inutile. Ma "inutile per X" non vuol dire "inutile". Sono due attrezzi che risolvono problemi diversi. Smettere di fare tifo da stadio e capire dove si separano le strade è la cosa più utile che posso lasciarti.
Cosa fa il self-hosted, e dove il commerciale è semplicemente inutile
Il mio setup è un homelab Proxmox con tre subnet e una manciata di container LXC. Tutta la rete è raggiungibile da fuori tramite NetBird, che ho adottato dopo oltre un anno di Tailscale (la cronaca della migrazione la trovi qui: NetBird VPN homelab: ho sostituito Tailscale, e il confronto secco è in Tailscale vs NetBird).
Per questi quattro scenari una VPN commerciale non aggiunge nulla:
- Accesso remoto ai TUOI servizi. Raggiungere Proxmox, Grafana, Vaultwarden da fuori è esattamente il lavoro di un overlay mesh. L'ho scritto per esteso in [accesso remoto al server di casa senza aprire porte](/blog/accesso-remoto-server-casa-senza-aprire-porte).
- Site-to-site. Cucire insieme due reti — casa e ufficio, o due location — con un tunnel WireGuard che il commerciale non sa nemmeno cosa sia.
- Zero-trust tra i tuoi nodi. ACL, gruppi, posture check sui device della tua rete. Una VPN commerciale instrada il traffico, non segmenta la tua infrastruttura.
- Exit-node "casa". Far uscire il telefono dall'IP di casa tua per apparire sulla tua rete. Sia Tailscale (un device della tailnet che instrada tutto il traffico non-Tailscale, opt-in per device) sia NetBird (default route 0.0.0.0/0 via routing peer con masquerade) lo fanno nativamente.