VPN per l'accesso al CRM: configurazione e scelta nel 2026

Se il CRM ha smesso di aprirsi, non è più solo un inconveniente. I manager non possono accedere alle trattative, il responsabile non vede il funnel, le integrazioni si interrompono. Il VPN per l'accesso al CRM risolve questo problema, ma solo se si comprende quale problema si sta risolvendo, perché le esigenze possono essere diverse e anche gli strumenti.

Qui analizzeremo tre scenari diversi: CRM estero bloccato o limitato per geolocalizzazione, provider che rallenta il traffico tramite DPI, e CRM aziendale interno accessibile solo dalla rete dell'ufficio. In ogni caso è necessario un approccio specifico.

Perché il CRM smette di aprirsi e come il VPN risolve il problema

L'errore di accesso al CRM può avere quattro fonti diverse. Non si possono mescolare: la soluzione è diversa per ognuna. A volte il manager vede "connessione ripristinata", mentre la vera causa non è il blocco, ma un DPI aggressivo di Rostelecom o MTS, che semplicemente taglia il traffico in base alla firma.

Geoblocking dei CRM esteri (Salesforce, HubSpot, Pipedrive)

Salesforce e HubSpot dal 2022 limitano l'accesso da indirizzi IP russi, non per richiesta di Roskomnadzor, ma per la propria politica di conformità alle liste di sanzioni. Pipedrive si comporta in modo più morbido, ma anche lì ci sono interruzioni. Il manager accede al browser, apre app.salesforce.com e riceve o una pagina vuota o un reindirizzamento a una pagina con un avviso di indisponibilità.

Il VPN cambia l'indirizzo IP in uno europeo o americano, e il CRM "vede" la connessione dalla Germania o dai Paesi Bassi. L'accesso viene ripristinato.

Bloccaggi e rallentamenti tramite DPI dai provider russi

DPI — deep packet inspection — è una tecnologia di analisi del traffico che i provider russi utilizzano su richiesta del TSPU (mezzi tecnici per contrastare le minacce). Roskomnadzor tramite questo sistema rallenta o blocca il traffico anche dove non c'è un blocco formale.

Praticamente appare così: il CRM si apre, ma carica l'elenco delle trattative in 15-20 secondi invece di 1-2. La telefonia all'interno del CRM scompare. Gli allegati non si caricano. Il provider non blocca nulla formalmente, semplicemente il traffico viene tagliato in base alla firma del protocollo. Il VPN elude il DPI, incapsulando il traffico in un tunnel crittografato che l'analizzatore non può classificare.

Contorno aziendale chiuso: accesso solo dalla rete dell'ufficio

Questa è una storia completamente diversa. Se il CRM è ospitato su un server aziendale e accessibile solo all'interno della rete aziendale, un VPN commerciale pubblico non aiuterà. È necessario un gateway VPN aziendale: il dipendente si connette a esso, ottiene un "IP virtuale da ufficio" e solo allora accede al contorno chiuso.

Il gateway aziendale viene configurato dal reparto IT. Può essere un server OpenVPN, Cisco AnyConnect, FortiClient o WireGuard su un server aziendale. Un NvoVPN pubblico o qualsiasi altro servizio commerciale non sostituirà un tunnel aziendale in questa situazione.

Cosa fa esattamente il VPN: crittografia, cambio IP, tunnel verso l'ufficio

Il VPN fa tre cose contemporaneamente: crittografa il traffico (il provider non vede il contenuto e non può applicare il DPI in base alla firma), cambia l'indirizzo IP in uscita (il geoblocking per IP smette di funzionare) e crea un tunnel nella rete desiderata (caso aziendale). Ecco perché il VPN per l'accesso al CRM non è uno strumento unico, ma diversi scenari di applicazione della stessa tecnologia.

Quale protocollo VPN scegliere per lavorare con il CRM

Il protocollo non è marketing, c'è una reale differenza in velocità, latenza e resistenza ai blocchi. Per il CRM è importante: un'interfaccia pesante con analisi e allegati è sensibile ai ritardi. Analizziamo onestamente.

WireGuard — velocità e bassa latenza per CRM basati su cloud

WireGuard è attualmente la scelta migliore per i CRM basati su cloud in termini di prestazioni. Il protocollo opera nello spazio del kernel Linux, ha un codice minimo (~4000 righe contro ~400.000 di OpenVPN) e offre latenze inferiori del 20-30% rispetto a OpenVPN sugli stessi server. Per Bitrix24 o amoCRM, dove la pagina delle trattative carica decine di richieste AJAX, questo è significativo.

Un difetto, ma sostanziale: WireGuard è facilmente rilevabile in base alla firma del traffico. Se il provider taglia intenzionalmente le connessioni VPN, WireGuard sarà bloccato per primo.

OpenVPN — compatibilità con i gateway aziendali

OpenVPN è lo standard de facto per i gateway VPN aziendali. Cisco, Fortinet, Check Point — la maggior parte delle soluzioni aziendali supporta configurazioni compatibili con OpenVPN. Se il reparto IT ha fornito un file .ovpn, è quello.

In termini di velocità, OpenVPN è inferiore a WireGuard di circa il 15-25% a causa del funzionamento nello spazio utente. In modalità TCP (necessaria per eludere alcuni firewall), le perdite sono ancora maggiori. Per un CRM con un carico moderato è abbastanza accettabile.

IKEv2/IPsec — stabilità durante il passaggio tra Wi-Fi e rete mobile

IKEv2 ha il supporto integrato per MOBIKE — un meccanismo che mantiene la sessione VPN durante il passaggio tra Wi-Fi e LTE. Un manager in auto passa da una zona Wi-Fi a Internet mobile: la connessione non si interrompe, il CRM continua a funzionare.

Per i dipendenti sul campo con un'app mobile CRM (amoCRM, Bitrix24 Mobile) questo è realmente importante. Difetto: IKEv2 è più facilmente rilevabile e bloccabile da sistemi DPI aggressivi rispetto a VLESS o Shadowsocks.

Shadowsocks, VLESS/XRay, Amnezia — eludere il DPI dove un normale VPN viene bloccato

Se WireGuard e OpenVPN vengono tagliati dal provider, non è la fine. I protocolli mascherati rendono il traffico simile a un normale HTTPS: il DPI non può classificarlo come VPN e lo lascia passare.

VLESS/XRay è l'opzione più moderna con uno sviluppo attivo. Shadowsocks è una classica collaudata, un po' più semplice da configurare. Amnezia VPN è uno sviluppo nazionale che incapsula WireGuard in una mascheratura e rimane aperto. Tutti e tre sono notevolmente più complessi da configurare rispetto ai protocolli standard, ma funzionano dove gli altri non riescono più a passare.

Tabella comparativa: velocità, elusione dei blocchi, facilità di configurazione

NvoVPN supporta WireGuard e protocolli mascherati — è possibile passare tra di essi a seconda della situazione. Ma questa è solo una delle opzioni, non l'unica.

Configurazione VPN per l'accesso a CRM: guida passo passo

Seguiamo i passaggi reali. Non "scarica l'app e premi connetti" — ma esattamente ciò che deve essere fatto affinché la vpn per l'accesso a crm funzioni correttamente, senza perdita di velocità e senza effetti collaterali.

Passo 1. Determina il tipo di CRM: cloud o interno

Questa è la prima domanda, senza la quale tutto il resto è inutile. CRM cloud (Bitrix24 su cloud.bitrix24.ru, amoCRM su tuodominio.amocrm.ru, Salesforce su *.salesforce.com) — è necessario un VPN commerciale per cambiare IP o aggirare il DPI. CRM interna su server aziendale — è necessario un gateway VPN aziendale, l'indirizzo e le credenziali vengono forniti dal reparto IT.

Se non sei sicuro: prova ad accedere a CRM tramite internet mobile, disattivando il Wi-Fi aziendale. Se si apre — CRM è cloud. Se no — probabilmente è interna.

Passo 2. Installazione del client su Windows e Mac

Per WireGuard: scarica il client ufficiale da wireguard.com. Su Windows è wireguard-installer.exe, su Mac — l'app dal Mac App Store. L'installazione è standard, senza particolarità. Per OpenVPN su Windows — OpenVPN Connect v3 (non GUI v2, è obsoleto). Su Mac — Tunnelblick o lo stesso OpenVPN Connect.

Importante: non confondere il client WireGuard di wireguard.com con applicazioni come "WireGuard VPN Pro" nel Windows Store — sono wrapper di terze parti, la qualità è imprevedibile.

Passo 3. Configurazione su Android e iPhone/iOS per lavorare sul campo

Su Android: WireGuard dal Google Play (app ufficiale del team WireGuard), OpenVPN Connect dallo stesso negozio. Su iPhone: WireGuard dall'App Store, OpenVPN Connect lì. Entrambe le app sono gratuite, si tratta di software client, non di un servizio.

Su iOS c'è una particolarità: il profilo VPN tramite IKEv2 può essere installato direttamente nelle impostazioni di sistema (Impostazioni → VPN → Aggiungi configurazione VPN) senza un'app di terze parti. Per IKEv2 aziendale è più comodo.

Passo 4. Importazione della configurazione (file .conf / codice QR)

Nel client WireGuard sul desktop: clicca su "Aggiungi tunnel" → "Importa da file" → seleziona il file .conf fornito dal tuo servizio VPN o dal reparto IT. Il tunnel appare nell'elenco con il nome del file di configurazione.

Su mobile è più comodo il codice QR: nel client desktop di WireGuard clicca sul tunnel → "Esporta in codice QR", apri l'app mobile, clicca su "+" → "Scansiona codice QR". Il telefono importa la configurazione in un secondo. Per OpenVPN è simile: in OpenVPN Connect su mobile — "Importa" → "Carica da file", se il file .ovpn è già sul telefono.

Passo 5. Verifica dell'accesso a CRM e test di velocità

Dopo la connessione: apri la CRM e cronometra il tempo di caricamento dell'elenco delle trattative o dei contatti (questa è l'operazione più pesante per la maggior parte delle CRM). In parallelo — ping al server CRM tramite terminale o riga di comando:ping app.salesforce.com. Un ping normale tramite VPN a un server europeo è di 30–80 ms. Se supera i 150 ms — cambia server con uno più vicino al data center CRM.

Per Salesforce i data center in Europa sono Francoforte e Amsterdam. Per Bitrix24 Cloud — Mosca e Germania. Scegli il server VPN di conseguenza.

Passo 6. Split tunneling: far passare tramite VPN solo la CRM

Lo split tunneling è una configurazione in cui tramite il tunnel VPN passa solo il traffico verso gli indirizzi necessari, mentre tutto il resto (YouTube, email, altri siti) va direttamente. Per le aziende è critico per due motivi: la velocità della CRM è maggiore (non c'è carico extra sul canale VPN) e le integrazioni della CRM con servizi esterni non si rompono.

In WireGuard lo split tunneling si configura tramite il campo AllowedIPs nel file di configurazione. Invece di0.0.0.0/0 (tutto il traffico) specifica intervalli IP specifici della CRM. Ad esempio, per Salesforce: intervalli dalla loro documentazione ufficiale (Salesforce Trust). Per amoCRM — IP del tuo sottodominio tramitenslookup tuodominio.amocrm.ru. La maggior parte dei client VPN commerciali ha questa impostazione nell'interfaccia grafica con il nome "Split tunneling" o "Tunnel separato".

Se tutto il traffico viene instradato tramite VPN senza split tunneling — i webhook e le integrazioni della CRM (ad esempio, con la telefonia o 1C) possono iniziare a inviare richieste con l'IP VPN, il che romperà le liste bianche sul lato ricevente.

Sicurezza dei dati della CRM durante il lavoro tramite VPN

Nella CRM ci sono dati personali dei clienti: nomi, telefoni, storia delle trattative. Non è un'astrazione — è una responsabilità diretta ai sensi della legge 152-FZ. Pertanto, la scelta di una VPN per accedere alla CRM non è solo una questione di comodità, ma una questione di sicurezza informatica.

Crittografia del traffico e protezione del database clienti su Wi-Fi pubblico

Senza VPN il traffico verso la CRM in una rete pubblica (caffè, aeroporto, coworking) può essere teoricamente intercettato in un attacco di tipo MITM. Le CRM moderne funzionano su HTTPS, il che già fornisce crittografia, ma la VPN aggiunge uno strato ulteriore e nasconde i metadati — a quali domini ti connetti, con quale frequenza, quale volume di dati trasmetti.

Per i manager che lavorano da caffè o in trasferta, una VPN con crittografia del traffico è una protezione ragionevole dei dati aziendali.

Politica delle VPN gratuite e rischio di fuga di dati

Le VPN gratuite non guadagnano con l'abbonamento. Guadagnano sui dati degli utenti — traffico, metadati, nei casi peggiori sul contenuto delle sessioni. Hola VPN nel 2015 vendeva la larghezza di banda degli utenti a botnet. Betternet registrava e vendeva dati agli inserzionisti. Questi sono casi documentati, non teoria.

Per lavorare con la CRM, dove è conservato il database clienti — questo è un rischio inaccettabile. Una VPN a pagamento con una chiara politica no-log e che ha superato una revisione indipendente è lo standard minimo. Vale la pena pagare $3–7 al mese per questo.

Approvazione con il reparto IT e politica di sicurezza dell'azienda

Prima di installare qualsiasi VPN su un dispositivo di lavoro o in una rete di lavoro — chiedi al reparto IT se ciò contraddice la politica di sicurezza aziendale. In alcune aziende, l'uso di VPN non approvate sui laptop aziendali viola la politica e può portare a conseguenze disciplinari.

Se il reparto IT ha fornito una VPN aziendale — usala. Se no, e hai bisogno di accesso a una CRM cloud bloccata dal provider — discuti di questo con l'IT e fissa l'approvazione. Questo protegge sia te che l'azienda.

152-FZ e conservazione dei dati personali dei clienti

La legge 152-FZ impone all'operatore dei dati personali la responsabilità per la loro protezione durante la trasmissione e la conservazione. Se un dipendente lavora con il database clienti tramite un canale non crittografato o tramite un servizio VPN con una politica di registrazione dubbia — questo è un rischio potenziale di conformità ai requisiti di legge.

Non darò consigli legali qui — non è il mio profilo. Ma considerare questa responsabilità nella scelta di una soluzione VPN per lavorare con la CRM è ragionevole. Una VPN aziendale approvata o un servizio a pagamento verificato con politica no-log soddisfa i requisiti di base.

Soluzione di problemi tipici: la CRM rallenta o non si apre tramite VPN

Hai connesso la VPN, ma la CRM continua a comportarsi in modo anomalo. Analizziamo i guasti specifici — non in astratto, ma con cause e azioni reali.

La CRM si apre, ma molto lentamente — scelta del server più vicino

La principale causa della lentezza della CRM tramite VPN è la grande distanza tra il server VPN e il data center della CRM. Se sei connesso a un server a New York, mentre Bitrix24 è in Germania — il traffico passa attraverso l'Atlantico e ritorno. Il ping aumenta, l'interfaccia rallenta.

Soluzione: scegli un server geograficamente vicino al data center della CRM. Scoprire la posizione del data center di solito è possibile nella documentazione del servizio o tramitetraceroute/tracert al dominio CRM. Passa a WireGuard: ha meno overhead rispetto a OpenVPN sullo stesso canale.

Interruzioni di connessione frequenti su internet mobile

WireGuard su mobile può interrompersi quando si passa tra torri LTE o quando si cambia da Wi-Fi→LTE. Non è un bug, è il comportamento del protocollo durante il cambio dell'IP del dispositivo. Soluzione: passa a IKEv2 — MOBIKE mantiene la sessione durante il cambio di rete. Oppure attiva nelle impostazioni di WireGuard il keepalive costante (parametro PersistentKeepalive = 25 nel config).

VPN attivata, ma CRM comunque non disponibile (DNS, split tunneling)

Tre motivi comuni. Primo: il DNS non è passato al resolver VPN, e il dominio CRM si risolve in un IP bloccato. Controlla:nslookup tuodominio.crm.com con VPN attivata dovrebbe restituire un IP diverso da quello che era senza VPN. Secondo: nel split tunneling il dominio CRM è stato accidentalmente escluso dal tunnel. Controlla la lista delle eccezioni. Terzo: il DPI aggressivo del provider blocca anche il traffico VPN crittografato — passa a VLESS/XRay o Shadowsocks.

Captcha e blocco dell'account durante il cambio di IP

I sistemi di sicurezza CRM (soprattutto Salesforce e HubSpot) monitorano la geografia degli accessi. Se ieri hai effettuato l'accesso da Mosca e oggi da un IP VPN olandese, il sistema potrebbe richiedere una verifica aggiuntiva o bloccare temporaneamente l'accesso.

Soluzione: utilizza sempre lo stesso server VPN — un IP, un paese. Non passare tra server senza necessità. Se CRM lo consente, aggiungi l'IP VPN alla lista di fiducia nelle impostazioni di sicurezza dell'account. Se utilizzi un server VPN condiviso con più colleghi, un IP per più utenti potrebbe suscitare sospetti nel sistema. In tal caso, considera un IP dedicato, offerto da alcuni servizi VPN.

È meglio non disattivare l'autenticazione a due fattori — non è la causa del problema. Configura semplicemente l'app di autenticazione (Google Authenticator, Authy) invece di SMS, così il cambio di IP non resetterà la sessione.