Configurazione di Pi-hole e WireGuard che ha senso
Pubblicato il 5 maggio 2026
La maggior parte delle persone inizia a interessarsi a Pi-hole e WireGuard dopo che si ripete alcune volte lo stesso fastidioso schema: annunci e tracker continuano a comparire sui dispositivi che pensavi fossero sotto controllo, e l'accesso remoto continua a sembrare un compromesso tra comodità e sicurezza. La buona notizia è che questi due strumenti risolvono parti diverse dello stesso problema. Pi-hole ti offre il filtraggio DNS a livello di rete. WireGuard ti offre un accesso VPN veloce e moderno. Se li combini correttamente, ottieni una navigazione più pulita, connessioni remote più sicure e un controllo molto migliore su ciò che lascia la tua rete.
Questa è una di quelle configurazioni che sembrano più complicate di quanto siano in realtà. Il vero lavoro non è installare il software. È prendere in anticipo alcune decisioni intelligenti, così il sistema rimane stabile anche quando l'entusiasmo iniziale svanisce.
Cosa fanno davvero Pi-hole e WireGuard
Pi-hole funziona come un DNS sinkhole. In parole semplici, risponde alle richieste DNS dei tuoi dispositivi e blocca le richieste verso domini pubblicitari, di tracciamento e malevoli noti prima ancora che la connessione venga stabilita. Non rimuove magicamente ogni annuncio da internet e non sistemerà le app che hanno il proprio DNS hardcoded o che servono annunci dallo stesso dominio dei contenuti. Ma per molte case, piccoli uffici, laboratori di sviluppo e ambienti di agenzia, riduce una quantità sorprendente di rumore con pochissimo overhead.
WireGuard risolve un problema diverso. Crea un tunnel crittografato tra il tuo dispositivo e la tua rete usando un protocollo essenziale e un modello di configurazione molto più pulito rispetto alle opzioni VPN più datate. Questo è importante se vuoi usare in modo sicuro i tuoi servizi locali mentre viaggi, raggiungere dashboard interne senza esporle pubblicamente, o instradare di nuovo le tue query DNS attraverso un resolver affidabile invece di quello che il Wi-Fi dell'hotel ha voglia di offrirti.
Insieme, hanno senso perché WireGuard può rimandare il traffico del tuo dispositivo alla tua rete, mentre Pi-hole può filtrare il DNS per quel traffico. Il risultato è semplice: il tuo portatile o telefono si comporta più come se fosse ancora sulla tua rete fidata, anche quando non lo è.
Perché questa combinazione funziona così bene
Il valore pratico è il controllo. Pi-hole ti offre visibilità sulle query DNS e la possibilità di bloccare ciò che non vuoi. WireGuard ti offre un percorso sicuro verso casa. Se viaggi spesso, gestisci ambienti di clienti o amministri infrastrutture da luoghi diversi, questa combinazione è subito utile.
C'è anche un vantaggio operativo. Nessuno dei due strumenti è particolarmente pesante. Un piccolo VPS, un mini PC a basso consumo o un Raspberry Pi possono spesso gestire il lavoro per un numero contenuto di utenti. Per le piccole imprese e i team tecnicamente coinvolti, questo significa che non serve costruire un enorme appliance di sicurezza solo per ottenere un DNS più pulito e un accesso privato.
Detto questo, non è una risposta valida per tutti. Se hai decine di utenti remoti, requisiti di conformità rigorosi o controlli centralizzati dell'identità, potresti superare la versione più semplice di questo design. Ma per una configurazione compatta e gestibile, è difficile trovare di meglio.
Dove ospitarlo
Hai tre opzioni comuni. Puoi eseguire entrambi su un Raspberry Pi o un piccolo server locale, una scelta popolare per l'uso domestico e in ufficio. Puoi eseguirli su un VPS, opzione utile se vuoi una raggiungibilità pubblica costante e non vuoi dipendere da una connessione internet residenziale. Oppure puoi separare i ruoli, con WireGuard su un VPS pubblico e Pi-hole all'interno della tua rete privata.
Ogni approccio ha i suoi compromessi. L'hosting locale ti offre controllo diretto e mantiene il DNS vicino ai tuoi dispositivi, ma la connessione internet di casa o dell'ufficio diventa parte della storia dell'affidabilità. Un VPS ti offre un uptime migliore e un accesso pubblico più semplice, ma se l'obiettivo è filtrare il traffico dei dispositivi all'interno della tua posizione fisica, devi riflettere attentamente su instradamento e latenza.
Per molti piccoli team, una distribuzione basata su VPS è interessante perché evita le solite acrobazie delle reti domestiche. Questo è particolarmente vero se ti senti già a tuo agio nella gestione dell'infrastruttura cloud o vuoi la rassicurazione aggiuntiva di un hosting monitorato. Un VPS stabile con backup adeguati di solito è meno capriccioso di un router che hai configurato alle 11:40 p.m. e che da allora non hai più toccato.
La configurazione più pulita per la maggior parte degli utenti
Il design affidabile più semplice consiste nell'installare Pi-hole e WireGuard sullo stesso host, quindi configurare i client WireGuard per usare Pi-hole come server DNS. Questo riduce al minimo le parti in movimento. Il tuo telefono, portatile o tablet si connette al tunnel WireGuard, quindi invia le richieste DNS attraverso Pi-hole.
In pratica, il flusso è questo: il tuo dispositivo stabilisce una connessione WireGuard, riceve un indirizzo VPN e usa l'istanza Pi-hole a quell'indirizzo interno per il DNS. Pi-hole inoltra poi le query consentite a un resolver upstream di tua scelta.
Questo funziona bene perché è facile da capire e facile da diagnosticare. Se il DNS non funziona, controlli Pi-hole. Se la connettività non funziona, controlli WireGuard. Meno livelli di solito significano meno sorprese notturne.
Scelte di configurazione di Pi-hole e WireGuard che contano
La prima decisione è se inviare attraverso WireGuard solo il traffico DNS o tutto il traffico. Se il tuo obiettivo principale è il blocco degli annunci e un DNS più sicuro sulle reti pubbliche, inviare solo il DNS può essere sufficiente. Se vuoi anche accedere ai servizi interni o vuoi che tutto il traffico di navigazione sia protetto da Wi-Fi non affidabili, instrada tutto attraverso il tunnel.
Nessuna delle due opzioni è universalmente migliore. L'instradamento full-tunnel offre una privacy più forte e un filtraggio più coerente, ma può aggiungere latenza e aumentare il carico sul tuo host VPN. L'instradamento split-tunnel è più leggero e spesso più comodo, ma lascia più traffico fuori dal tuo percorso protetto.
La seconda decisione riguarda il tuo provider DNS upstream per Pi-hole. I resolver pubblici sono semplici, ma alcuni utenti preferiscono eseguire un resolver ricorsivo interno per avere più controllo. Questo può migliorare la privacy e ridurre la dipendenza da terze parti, ma aggiunge anche complessità. Se il tuo obiettivo è un'affidabilità che richiede poca manutenzione, mantieni semplice la scelta dell'upstream.
La terza decisione è la disciplina delle blocklist. Più liste non significano sempre un filtraggio migliore. Liste aggressive possono interrompere flussi di accesso, contenuti multimediali incorporati, widget di pagamento o strumenti di analytics di cui la tua azienda ha davvero bisogno. Inizia in modo conservativo, osserva i log delle query e aggiungi eccezioni con intenzione. Questa è infrastruttura, non uno sport agonistico.
Errori comuni da evitare
L'errore più grande è esporre pubblicamente l'interfaccia di amministrazione di Pi-hole. Non farlo. Se hai bisogno di accesso remoto alla dashboard, usa WireGuard per raggiungerla in privato. Le pagine di amministrazione pubbliche attirano molto rapidamente il tipo sbagliato di attenzione.
Un altro problema comune è dimenticare le regole del firewall. WireGuard ha bisogno della sua porta aperta, Pi-hole ha bisogno che il DNS sia raggiungibile dalla rete VPN, e l'inoltro IP deve essere configurato correttamente se il traffico viene instradato oltre l'host. Se manca uno di questi elementi, l'installazione può sembrare sana mentre l'esperienza utente reale rimane compromessa.
I loop DNS sono un altro problema classico. Se Pi-hole inoltra a un resolver che punta di nuovo attraverso lo stesso tunnel nel modo sbagliato, le query possono fallire o comportarsi in modo incoerente. Mantieni il percorso DNS semplice e documentato.
Infine, fai attenzione alle subnet sovrapposte. Se la tua LAN di casa, la LAN dell'ufficio e la rete WireGuard riutilizzano tutte lo stesso intervallo di IP privati, l'instradamento diventa rapidamente complicato. Piani di indirizzamento puliti fanno risparmiare tempo.
Aspettative su sicurezza e manutenzione
Questa configurazione è relativamente leggera, ma richiede comunque attenzione. Mantieni aggiornato il sistema operativo. Aggiorna Pi-hole e WireGuard secondo una pianificazione sensata. Esegui il backup della tua configurazione, in particolare delle chiavi WireGuard, delle configurazioni dei peer e delle regole personalizzate di Pi-hole.
Anche il monitoraggio conta. Non ti serve un'enorme piattaforma di osservabilità solo per eseguire il filtraggio DNS e una VPN, ma devi sapere quando il servizio non è disponibile. Anche controlli di base sulla disponibilità della porta, sulla risposta DNS, sul carico della CPU e sull'utilizzo del disco fanno una grande differenza. I sistemi silenziosi sono eccellenti fino al momento in cui falliscono in silenzio.
Se stai eseguendo questa configurazione per un'azienda, documenta chi ne è responsabile, dove si trovano le configurazioni, come funziona il ripristino e cosa succede se l'host smette di funzionare. La configurazione in sé non è difficile. I problemi di solito iniziano quando l'unica persona che l'ha realizzata è fuori ufficio e tutti gli altri fissano un terminale come se dovesse loro una spiegazione.
Quando questa configurazione è adatta
Pi-hole e WireGuard sono un'ottima scelta per piccoli uffici, agenzie, sviluppatori, homelab con lavoro reale collegato e imprenditori che vogliono un accesso remoto più sicuro senza distribuire uno stack enterprise. È particolarmente utile quando vuoi un unico percorso DNS controllato per i dispositivi in roaming.
È meno ideale se hai bisogno di un filtraggio web approfondito, controlli di accesso avanzati consapevoli dell'identità o gestione utenti su larga scala. Puoi costruirci intorno, ma a un certo punto stai chiedendo a strumenti compatti di fare il lavoro di una piattaforma più grande.
Per i team che già usano infrastruttura VPS, questa combinazione è spesso un passo successivo efficiente. Un server gestito o ben monitorato ti offre una base stabile per i servizi, e il carico operativo rimane ragionevole. Questo equilibrio è una parte importante del motivo per cui configurazioni come questa restano popolari. Risolvono un problema reale senza richiedere una babysitter a tempo pieno.
Il vero vantaggio è meno attrito
La parte migliore di questo design non è che sia ingegnoso. È che rimuove attrito nelle operazioni quotidiane. I dispositivi ottengono un DNS più pulito. L'accesso remoto diventa più sicuro. Gli strumenti interni possono rimanere privati. La risoluzione dei problemi diventa più prevedibile perché il sistema è costruito a partire da pochi elementi comprensibili.
Di solito questo è il test giusto per le scelte infrastrutturali. Non se fanno una bella figura in un diagramma, ma se riducono silenziosamente il rischio e supportano il modo in cui lavori davvero. Se costruisci Pi-hole e WireGuard con questo obiettivo in mente, finisci con una configurazione che si guadagna il suo posto invece di diventare un altro progetto fragile nella tua lista delle cose da fare.
Andres Saar Ingegnere Customer Care