← Torna agli articoli Domotica & IoT

Sicurezza Domestica Totale: Home Assistant, AdGuard Home e Tailscale su Minisforum UM880 Plus

21 Mag 2026 Sicurezza Domestica Totale con Minisforum, AdGuard e Tailscale

Nelle nostre case, il numero di dispositivi connessi cresce esponenzialmente ogni giorno: smart TV, telecamere IP, sensori domotici, console, oltre a computer, smartphone e tablet. Questa abbondanza digitale porta grandi comodità, ma espone la nostra rete locale e i nostri familiari a rischi costanti. Ransomware, malware, tracciamento pubblicitario aggressivo e contenuti non adatti ai bambini sono minacce quotidiane. Proteggere singolarmente ogni dispositivo è un incubo di gestione e spesso impossibile su oggetti IoT privi di interfaccia.

La soluzione ideale non è installare decine di antivirus commerciali pesanti, ma centralizzare la difesa a livello di rete (DNS-Sinkhole) e proteggere il traffico dei dispositivi mobili anche fuori casa. In questo articolo vedremo come realizzare una fortezza di sicurezza domestica autogestita e a costo zero, sfruttando l'incredibile potenza del mini PC MINISFORUM UM880 Plus, orchestrando insieme Home Assistant, AdGuard Home e Tailscale VPN.

🚀 L'Hardware: MINISFORUM UM880 Plus Mini PC

Per far girare una suite di servizi di rete critici h24 che gestiscono la telemetria, la sicurezza DNS, la VPN di tutta la famiglia e la domotica, serve un hardware affidabile, parco nei consumi ma estremamente prestante. La nostra scelta è ricaduta sul MINISFORUM UM880 Plus, un mostro di potenza in formato ultracompatto:

  • CPU: AMD Ryzen 7 8845HS (8 core, 16 thread, frequenza fino a 5,1 GHz) con acceleratore NPU per intelligenza artificiale.
  • Grafica: GPU Integrata AMD Radeon 780M (ideale per l'eventuale transcodifica video in domotica).
  • RAM: 32 GB DDR5 Dual Channel (fondamentale per allocare svariate macchine virtuali e container).
  • Storage: SSD da 1 TB PCIe 4.0 (velocissimo, riduce a zero i tempi di IO durante le scritture dei database domotici).
  • Connettività: OCuLink (per espansioni esterne), doppia porta di rete RJ45 2.5G, 5 porte USB e supporto Triplo Display (HDMI + DP + USB4).

Questo mini PC consuma pochissimo in idle (circa 10-15W) ed è perfetto per ospitare un hypervisor come Proxmox VE, sul quale faremo girare le nostre macchine virtuali per dividere i servizi in modo stagno, garantendo continuità e sicurezza.

🛡️ Cosa viene Bloccato e Protetto?

A differenza dei tradizionali antivirus commerciali che appesantiscono i dispositivi, questo sistema offre un filtraggio perimetrale centralizzato. Ecco una panoramica dettagliata di cosa viene bloccato e protetto all'istante all'interno della rete:

  • Malware & Phishing: Blocco in tempo reale dell'accesso a domini dannosi, botnet, ransomware e siti di furto credenziali (phishing) aggiornati h24 tramite blocklist globali.
  • Annunci Mobili & Adware: Rimozione totale di banner pubblicitari, annunci pop-up e video-ads invasivi in-app, sia nei browser che all'interno di giochi e applicazioni mobile.
  • Tracciamento & Telemetria: Intercettazione e blocco dei tracker statistici che spiano la cronologia (es. tracciamento di Facebook, Google Analytics, e telemetria nativa di smart TV LG/Samsung e smartphone).
  • Contenuti per Adulti (Parental Control): Filtro restrittivo a livello DNS per impedire l'apertura di portali pornografici, violenti, legati al gioco d'azzardo o alla vendita di armi.
  • Forzatura Ricerca Sicura (SafeSearch): Obbliga Google, Bing, YouTube e DuckDuckGo a rimanere impostati in modalità "Safe", impedendo la comparsa di immagini ed elementi non adatti ai minori nelle ricerche libere.
  • Crypto-Mining & Spyware: Blocco degli script silenti che sfruttano la CPU dei tuoi dispositivi per minare criptovalute a tua insaputa.
  • Social & App a Orario: Blocco programmato o manuale di piattaforme specifiche (es. disattivare TikTok, Roblox, YouTube o Discord durante le ore dello studio).

📐 Lo Schema di Funzionamento

Prima di passare alla pratica, cerchiamo di capire come i tasselli si incastrano tra loro. Il principio cardine è semplice: deviare le richieste di risoluzione dei nomi (DNS) dei nostri dispositivi verso un filtro interno, crittografando la connessione quando siamo all'esterno.

Dispositivi Mobili / Figli Tailscale VPN Attiva MINISFORUM UM880 Plus Proxmox Hypervisor 🛡️ AdGuard Home Controllo Parentale & Filtro DNS 🏠 Home Assistant Monitoraggio & Automazioni Internet Pulito SENZA MINACCE Tunnel Cifrato VPN

📶 Funzionamento in Rete Locale (LAN) vs Rete Mobile (WAN/VPN)

La vera flessibilità di questa architettura sta nella capacità di adattarsi in tempo reale alla posizione fisica dei dispositivi. Il funzionamento si divide in due scenari principali:

Schema LAN vs Rete Mobile con Tailscale e AdGuard
  • Scenario A: Nel Wi-Fi di Casa (Rete LAN)
    Quando i dispositivi sono connessi al Wi-Fi casalingo, non hanno bisogno di attivare alcun tunnel VPN. Il router di casa (tramite DHCP) distribuisce l'indirizzo IP locale del nostro server Minisforum (es. 192.168.1.150) come server DNS primario. Le query vengono risolte localmente in un battito di ciglia (latenza di 0-2 ms), garantendo una velocità di navigazione fulminea senza appesantire la rete.
  • Scenario B: Fuori Casa / Rete Mobile (Rete WAN/VPN)
    Quando i telefoni o tablet dei figli si scollegano dal Wi-Fi di casa (passando a reti 4G/5G o Wi-Fi pubblici), l'applicazione Tailscale attiva un tunnel cifrato WireGuard. Questo tunnel punta direttamente all'IP privato Tailscale del nostro server casalingo (es. 100.x.x.x). Tutte le query DNS del telefono viaggiano in modo crittografato e sicuro fino a casa, dove vengono filtrate da AdGuard prima di procedere. I dispositivi rimangono protetti anche nei bar, a scuola o in viaggio.

Quando un dispositivo fuori casa (ad esempio lo smartphone di tuo figlio collegato alla rete 4G/5G) prova a navigare su internet o ad aprire un'app:

  1. La richiesta DNS viene intercettata dall'app di Tailscale installata sul telefono.
  2. Tailscale instrada la richiesta in modo cifrato e sicuro all'interno della rete privata (VPN) puntando al nostro server casalingo sul Minisforum UM880 Plus.
  3. Sul server, AdGuard Home riceve la richiesta ed effettua lo screening istantaneo attraverso liste di tracciamento, malware e filtri per adulti.
  4. Se la richiesta è lecita, viene risolta e restituita tramite i DNS sicuri (es. Cloudflare Family 1.1.1.3), permettendo la navigazione veloce. Se la richiesta riguarda contenuti non adeguati, malware o adware, AdGuard restituisce l'IP 0.0.0.0 (Sinkhole), bloccando all'istante il caricamento della pagina o della pubblicità prima ancora che venga scaricata un solo byte sul telefono.
  5. Al contempo, Home Assistant riceve le statistiche di AdGuard e ci permette di attivare/disattivare protezioni temporanee tramite comandi rapidi o monitorare anomalie.

🛠️ Step 1: Configurazione di AdGuard Home

AdGuard Home agisce come un server DNS ricorsivo con blocco degli annunci e dei contenuti dannosi integrato. Rispetto a Pi-hole, offre un'interfaccia molto più moderna, filtri parentali pronti all'uso facili da configurare e prestazioni eccezionali scritti in Go.

Per installarlo su Proxmox o all'interno di Home Assistant, possiamo usare l'Add-on ufficiale o creare un container LXC Linux dedicato (consigliato per stabilità). Una volta avviato, andiamo alla dashboard web di AdGuard Home e configuriamo i parametri chiave:

Impostazioni DNS & Upstream

Nelle impostazioni dei DNS, configuriamo server sicuri con supporto DoH (DNS-over-HTTPS) per evitare che il nostro provider internet intercetti le nostre query. Configura gli upstream in questo modo:

# DNS Upstream consigliati per famiglie (Cloudflare Security + Parental Control)
https://security.cloudflare-dns.com/dns-query
1.1.1.3
1.0.0.3

# DNS Upstream secondari (Quad9 con filtri malware integrati)
https://dns.quad9.net/dns-query
9.9.9.9

Configurazione del Controllo Parentale

AdGuard Home permette di bloccare servizi specifici con un solo clic. Andiamo su Filtri > Blocco Servizi. Qui possiamo spuntare piattaforme come TikTok, YouTube, Roblox o Discord a orari programmati o in modo permanente. Inoltre, nella sezione Impostazioni Generali:

  • Spunta la voce Forza la ricerca sicura (SafeSearch): questo forzerà Google, Bing, YouTube e DuckDuckGo a mostrare solo risultati adatti a minori, rimuovendo immagini e link espliciti.
  • Abilita il Parental Control globale per bloccare a monte i siti pornografici e violenti basati sul database cloud di AdGuard.

📊 Identificazione dei Clienti e Report Dettagliati

Uno degli aspetti più potenti di AdGuard Home è la capacità di mostrarci esattamente quale dispositivo sta effettuando le richieste DNS. Per evitare di vedere un elenco anonimo di indirizzi IP locali (es. 192.168.1.50) o VPN (es. 100.122.8.85), possiamo mappare ciascun dispositivo con il suo nome reale:

Cruscotto di AdGuard Home con Clienti Identificati
  1. Mappatura dei Clienti Statici (Tailscale & LAN): Andando su Impostazioni > Clienti in AdGuard Home, puoi fare clic su Aggiungi cliente. Inserisci il nome reale del dispositivo (es. "Telefono Enzo" o "Fabio") e associa l'indirizzo IP statico assegnato da Tailscale (es. 100.x.x.x) o il MAC Address locale. Da quel momento, le statistiche mostreranno il nome del dispositivo reale anziché un IP misterioso.
  2. Risoluzione DNS Inversa (Reverse DNS / PTR): Nelle Impostazioni DNS, scorri fino a DNS resolver locali. Configura AdGuard per inoltrare le richieste di risoluzione inversa al tuo router di casa (es. inserendo [/1.168.192.in-addr.arpa/]192.168.1.1). Questo permetterà ad AdGuard di interrogare automaticamente il router per scoprire i nomi host dei dispositivi locali (es. hp-epellecchia o dreame-vacuum).
⚠️ L'Insidia Silenziosa: Il Bypass DNS tramite IPv6
Una delle criticità più comuni (e difficili da diagnosticare) quando si configura un DNS-Sinkhole casalingo riguarda il protocollo IPv6. Molti router moderni forniti dagli ISP utilizzano una configurazione Dual-Stack attiva per default. Se configuri AdGuard Home solo sull'indirizzo IPv4 locale (es. 192.168.1.150) ma il tuo router distribuisce ai dispositivi anche un DNS IPv6 tramite SLAAC o DHCPv6, accadrà un problema silenzioso: i dispositivi (inclusi smartphone e computer dei bambini) utilizzeranno automaticamente l'indirizzo DNS IPv6 dell'ISP, bypassando completamente tutti i filtri, il SafeSearch e i blocchi impostati su AdGuard!

Come mitigare questa criticità:
  • Opzione A (Consigliata per semplicità): Disattiva del tutto l'IPv6 nelle impostazioni LAN/DHCP del tuo router di casa, forzando l'intera rete domestica a utilizzare unicamente il collaudato protocollo IPv4.
  • Opzione B (Configurazione Dual-Stack completa): Se hai assoluto bisogno di IPv6, assicurati di configurare AdGuard Home per rimanere in ascolto sia sull'indirizzo IPv4 che sull'indirizzo IPv6 locale del tuo server Minisforum, ed inserisci entrambi questi indirizzi all'interno dei parametri DNS LAN del tuo router.
  • Attenzione a Tailscale: Quando sei fuori casa in rete mobile, accertati che la configurazione DNS globale di Tailscale non presenti perdite (leak) IPv6. Nella console Tailscale, abilita l'opzione per forzare l'Override del DNS locale puntando unicamente all'indirizzo IPv4 sicuro del tuo server per evitare bypass da parte dell'operatore telefonico.

🔗 Step 2: Connessione Globale tramite Tailscale VPN

Che cos'è Tailscale? È un servizio VPN a mesh privata basato sul protocollo moderno ed estremamente veloce WireGuard. Consente di collegare dispositivi sparsi nel mondo in pochi secondi come se si trovassero sotto lo stesso switch di casa, senza bisogno di aprire porte sul router domestico o configurare IP statici dinamici.

Il nostro obiettivo è fare in modo che i dispositivi fuori casa interroghino AdGuard Home come loro server DNS principale.

💡 Alternativa Semplicissima: Installare Tailscale come Add-on (Plugin) in Home Assistant
Se preferisci evitare la riga di comando e vuoi un'installazione rapida interamente integrata, puoi installare Tailscale con un singolo clic direttamente dal Supervisor Add-on Store di Home Assistant! Basta andare in Impostazioni > Componenti Aggiuntivi > Negozio dei Componenti Aggiuntivi, cercare Tailscale, fare clic su Installa e avviarlo. Una volta avviato, apri l'interfaccia utente (Web UI) per accoppiare il nodo alla tua rete in un istante.

Installazione di Tailscale sul Mini PC

Installiamo Tailscale sul container o VM in cui gira AdGuard Home. Apriamo il terminale Linux e lanciamo il comando ufficiale:

curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale up --accept-dns=false

Il parametro --accept-dns=false evita che il server sovrascriva la sua stessa risoluzione locale DNS.

Configurazione di Tailscale come DNS Globale

  1. Accedi alla tua Admin Console di Tailscale (web dashboard).
  2. Prendi nota dell'IP privato Tailscale del tuo server AdGuard (inizia solitamente con 100.x.x.x).
  3. Vai alla scheda DNS nella dashboard di Tailscale.
  4. Nella sezione Nameservers, clicca su Add Nameserver > Custom... e inserisci l'indirizzo IP Tailscale del tuo server AdGuard Home.
  5. Abilita l'opzione Override Local DNS. Questo è il passaggio chiave: dice a tutti i dispositivi connessi a Tailscale di ignorare i DNS della rete a cui sono collegati (es. il Wi-Fi pubblico o la rete cellulare) e usare unicamente AdGuard Home.

Configurazione sui Dispositivi dei Bambini

Prendi lo smartphone o il tablet di tuo figlio, scarica l'applicazione ufficiale Tailscale da Google Play Store o Apple App Store, ed effettua l'accesso con il tuo account amministratore. Dalle impostazioni del sistema operativo (Android/iOS):

  • Abilita l'opzione VPN Always-on (Sempre attiva) nelle impostazioni di sistema del dispositivo.
  • Blocca l'opzione che permette di bypassare la VPN se non è connessa.

Ora, ovunque si trovi tuo figlio, il suo traffico DNS passerà silenziosamente e in modo invisibile dal Minisforum UM880 Plus di casa. Il caricamento di pagine infette o inappropriate verrà fermato all'istante con schermate di blocco pulite e personalizzate, garantendo totale sicurezza.

🤖 Step 3: Integrazione e Automazione con Home Assistant

Avere questi strumenti è magnifico, ma poterli governare da un'unica plancia domotica rende il tutto fantascientifico. Home Assistant dispone di un'integrazione nativa straordinaria per AdGuard Home.

Una volta aggiunta l'integrazione di AdGuard su Home Assistant (andando su Impostazioni > Dispositivi e Servizi > Aggiungi Integrazione > AdGuard Home), avremo accesso a decine di sensori e interruttori:

  • Switch Parental Control: per attivare o disattivare il blocco globale all'istante.
  • Switch Blocco Servizi: per bloccare al volo YouTube o TikTok con un clic.
  • Sensore Query Bloccate: per monitorare in tempo reale quante minacce sono state bloccate.

Automazione d'Esempio: Notifica di Attacco / Malware

Possiamo creare un'automazione in YAML in Home Assistant che ci invia una notifica immediata sullo smartphone se un dispositivo della rete domestica o mobile prova a contattare un dominio identificato come malware (tentativo di phishing o infezione ransomware):

alias: "Sicurezza: Rilevato Malware su Rete"
description: "Invia una notifica push se AdGuard blocca una query classificata come minaccia"
trigger:
  - platform: numeric_state
    entity_id: sensor.adguard_rules_blocked
    above: 0
action:
  - service: notify.notify
    data:
      title: "🚨 Allerta Sicurezza Rete!"
      message: "AdGuard ha appena bloccato un tentativo di connessione a un sito sospetto o infetto. Verifica i log per identificare il dispositivo coinvolto."
      data:
        priority: high
        clickAction: "/config/devices"

Automazione d'Esempio: Studio senza Distrazioni

Vuoi assicurarti che i bambini non si distraggano durante le ore dedicate ai compiti? Puoi creare un'automazione che, all'attivarsi dello "Studio Mode" in casa, disattivi l'accesso a YouTube e Roblox sui loro tablet specifici tramite AdGuard:

alias: "Studio: Blocco Social & Gaming"
trigger:
  - platform: time
    at: "15:00:00"
action:
  - service: switch.turn_on
    target:
      entity_id: 
        - switch.adguard_block_youtube
        - switch.adguard_block_roblox
  - service: notify.notify
    data:
      message: "Modalità studio attiva. Social media e gaming bloccati sui dispositivi selezionati."

🎯 Conclusione

Grazie all'eccezionale potenza del MINISFORUM UM880 Plus, siamo riusciti a creare un'infrastruttura di sicurezza di livello enterprise, completamente gratuita, localizzata ed estremamente flessibile. Non paghiamo alcun abbonamento mensile a provider VPN commerciali o software di parental control terzi che tracciano a loro volta i nostri dati. Le informazioni di navigazione della nostra famiglia non escono dalle mura del nostro server casalingo.

I bambini sono protetti all'esterno contro contenuti non idonei e furto di dati sensibili grazie al tunnel crittografato Tailscale, mentre la domotica di Home Assistant ci avvisa di ogni anomalia. Un setup pulito, scalabile e incredibilmente soddisfacente che trasforma un piccolo mini PC in un guardiano instancabile per tutta la famiglia.