Ferro economico per server VPN: cosa scegliere nel 2025

Se stai leggendo questo, probabilmente hai già provato VPN gratuiti che tagliano la velocità in modo vergognoso, o servizi a pagamento che funzionano a intermittenza. La tua infrastruttura è un altro livello di controllo. Ma quale hardware economico per server VPN vale davvero la pena acquistare e cosa è uno spreco di soldi? Analizziamo nel dettaglio: single-board computer, mini PC, router, cifre reali di prestazioni e — cosa importante per la Russia — quale protocollo non bloccherà il RKN tra un mese.

Perché configurare il proprio server VPN e quale hardware è necessario

Un servizio VPN a pagamento è un server altrui, un protocollo altrui e un indirizzo IP altrui. Non controlli come esattamente il traffico viene mascherato da HTTPS legittimo, non puoi cambiare protocollo in risposta ai nuovi blocchi. Il tuo server è libertà di configurazione totale.

Questo è particolarmente importante in Russia, dove il DPI (Deep Packet Inspection) dei provider è in grado di riconoscere e bloccare le firme dei protocolli più diffusi. Quando il RKN emette un ordine — il provider chiude il traffico attraverso l'attrezzatura TSPU. Se hai il tuo protocollo con il mascheramento corretto, semplicemente cambi la configurazione, senza aspettare l'aggiornamento del servizio.

Server proprio vs VPN a pagamento: qual è la reale differenza

Un VPN a pagamento ti dà un clic e un'applicazione pronta. Il tuo server richiede 2-4 ore di configurazione iniziale e la comprensione di cosa sta accadendo. Invece l'indirizzo IP appartiene solo a te — niente "questo indirizzo è bloccato perché 500 persone ci si collegavano tramite un servizio".

Un altro punto: i servizi VPN russi sotto pressione del RKN periodicamente abbandonano il mercato oppure iniziano a filtrare il traffico. Un servizio estero non soggetto alla giurisdizione russa, ma potrebbe essere bloccato lui stesso. Il tuo server su un VPS estero — il compromesso perfetto.

Requisiti minimi di hardware per WireGuard e VLESS/XRay

WireGuard è minimalista: funziona con 256 MB di RAM e un core del processore. Davvero su Orange Pi Zero con 512 MB di RAM WireGuard si avvia senza problemi, solo non aspettarti 1 Gbit/s.

VLESS/XRay con Reality richiede un po' di più: minimo 512 MB di RAM, meglio 1 GB. XRay è scritto in Go, non c'è compilazione JIT, ma non è particolarmente pesante. Su Raspberry Pi 4 con 2 GB di RAM funziona perfettamente, il carico della CPU con traffico attivo — 20-40%.

Shadowsocks-2022 per carico della CPU è più o meno come WireGuard, ma aggiunge overhead sulla crittografia. Su ARM Cortex-A53 deboli (Orange Pi Zero, Pi vecchi) è evidente.

Dove posizionare fisicamente il server: a casa, su VPS o presso un hosting provider

A casa: hai bisogno di un IP statico (o DDNS) e porte aperte. Molti provider russi sono dietro CGNAT — le connessioni in entrata sono fisicamente impossibili senza configurazioni aggiuntive. Verifica in anticipo: se il tuo IP esterno inizia con 100.64.x.x o 10.x.x.x — hai CGNAT.

VPS estero (Hetzner, DigitalOcean, Vultr) — l'opzione ottimale. Da $3-5/mese per un server base in Germania o Finlandia. IP statico incluso. Nessun problema con CGNAT e connessioni in entrata

ями.

Hardware domestico + VPS estero — combo per paranoici e perfezionisti: tutto il controllo è vostro, il traffico in uscita passa attraverso IP estero.

Top opzioni economiche di hardware per server VPN

Parliamo di dispositivi specifici con prezzi reali. I prezzi sono aggiornati all'inizio del 2025, fate riferimento a Ozon/Wildberries/AliExpress — ci sono variazioni, ma l'ordine di grandezza è più o meno questo.

Single-board: Raspberry Pi 4/5, Orange Pi, Banana Pi — prezzi e prestazioni

Raspberry Pi 4 (2 GB) — circa 4000-5500 rubli su Ozon (considerando le forniture grigie). Il processore Cortex-A72 a 1,8 GHz fornisce ~400-600 Mbit/s con WireGuard in condizioni reali. Ethernet Gigabit disponibile. Il supporto della comunità è enorme — qualsiasi domanda si risolve in 5 minuti di ricerca.

Raspberry Pi 5 (4 GB) — ~7000-9000 rubli. Cortex-A76, notevolmente più veloce, ma richiede un raffreddamento attivo separato per il funzionamento 24/7. Alcuni vecchi image per Pi 4 non si avviano su di esso — verificate la compatibilità dell'image del SO prima di scaricare.

Orange Pi 3 LTS — 2500-3500 rubli. Allwinner H6, Cortex-A53. Le prestazioni sono circa la metà di Pi 4: WireGuard ~150-250 Mbit/s. Per uno o due utenti è più che sufficiente. Acquistate solo la versione ufficiale — su AliExpress si trovano cloni con diversi chip di memoria flash che causano blocchi del SO.

Banana Pi M5 — ~3500-4500 rubli. Amlogic S905X3, stessa classe Cortex-A55. Una buona alternativa a Orange Pi, ma la documentazione è peggiore.

Mini-PC: N100, Celeron J4125 — il miglior equilibrio tra prezzo e prestazioni

Intel N100 — è un altro livello. Architettura x86, AES-NI out of the box, che fornisce accelerazione hardware per OpenVPN e altri protocolli con crittografia AES. I mini-PC con N100 costano 8000-12000 rubli su Ozon (marchi come BMAX, MinisForum, Trigkey).

WireGuard su N100 fornisce 900+ Mbit/s — quasi gigabit. XRay con VLESS+Reality — 400-600 Mbit/s anche con TLS pesante. Questo è già un server a livello di un piccolo ufficio, non solo una VPN personale.

Celeron J4125 — un po' più vecchio, ~6000-9000 rubli per un mini-PC completo. Le prestazioni sono leggermente inferiori a N100, ma AES-NI è comunque presente. Una buona opzione se lo trovate scontato.

Vecchio laptop o PC come server VPN: quando è conveniente

Se avete a casa un laptop con Core i3/i5 e 4 GB di RAM — questo è hardware gratuito per il server VPN. La batteria integrata funziona come UPS in caso di interruzione di corrente. Svantaggi: consumo di 15-45 W rispetto ai 3-5 W del Raspberry Pi, più il rumore della ventola.

Per un uso permanente non è economicamente vantaggioso — in un anno la differenza di elettricità ammonta a 1500-4000 rubli. Ma per test o un server temporaneo — perfetto.

Router con OpenWRT: GL.iNet, TP-Link — l'opzione più compatta

GL.iNet Beryl AX (MT3000) — 6000-8000 rubli. MediaTek MT7981B, 256 MB RAM, WireGuard direttamente dalla scatola nell'interfaccia web. Consumo ~5 W. Ma c'è un dettaglio: c'è una porta 2.5G, le altre sono 1G. Per

Per la maggior parte non è un problema.

Un'importante limitazione di tutti i router economici: se hai porte Fast Ethernet (100 Mbit/s) — questo è il limite fisico di velocità, nessun software può aiutare. Controlla le specifiche delle porte prima dell'acquisto.

TP-Link Archer C7 e simili su OpenWRT funzionano, ma la CPU è debole — WireGuard raggiungerà al massimo 50-80 Mbit/s. Per un utente è accettabile, per una famiglia no.

Tabella comparativa: prezzo / consumo / velocità WireGuard

Dispositivo	Prezzo (rubli)	CPU	RAM	WireGuard (Mbit/s)	Consumo
Orange Pi 3 LTS	2500–3500	Cortex-A53 × 4	2 GB	~150–250	~3 W
Raspberry Pi 4 (2 GB)	4000–5500	Cortex-A72 × 4	2 GB	~400–600	~4 W
Raspberry Pi 5 (4 GB)	7000–9000	Cortex-A76 × 4	4 GB	~700–900	~5–8 W
GL.iNet Beryl AX	6000–8000	MT7981B × 2	256 MB	~300–400	~5 W
Mini PC N100	8000–12000	Intel N100 × 4 (x86)	8–16 GB	~900+	~10–15 W
Mini PC J4125	6000–9000	Celeron J4125 × 4	4–8 GB	~700–800	~8–12 W

Quale protocollo scegliere per il tuo server contro i blocchi RKN

Questa è la sezione più importante se vivi in Russia. Puoi comprare un hardware server VPN economico perfetto, ma se il protocollo viene bloccato dopo 2 settimane — è tutto inutile.

WireGuard: veloce, ma facilmente bloccabile via UDP

WireGuard è un protocollo tecnicamente eccellente. Codice minimalista (circa 4000 righe), crittografia veloce Curve25519/ChaCha20, basso ping. In un mondo senza DPI — la scelta ideale.

In Russia — c'è un problema. WireGuard funziona su UDP e ha firme caratteristiche nei primi pacchetti dell'handshake. L'apparecchiatura TSPU dei provider la riconosce e la blocca. Inoltre, alcuni ISP applicano UDP-throttling: non bloccano esplicitamente, ma riducono il traffico UDP a 5-10 Mbit/s. Penserai che funzioni tutto, solo lentamente.

VLESS + XRay + Reality: la scelta migliore per aggirare DPI in Russia

VLESS con trasporto Reality — è attualmente l'opzione più resistente al DPI. Reality maschera la connessione come un vero handshake TLS con un dominio reale (ad esempio microsoft.com o apple.com). DPI vede un HTTPS legittimo sulla porta 443 — niente da bloccare.

XRay — è un fork di V2Ray con funzionalità aggiuntive, incluso Reality. Si installa con un unic

attraverso lo script ufficiale. Su un mini-PC con N100 funziona perfettamente. Su Orange Pi Zero con Cortex-A53 — lentamente, perché non c'è accelerazione hardware AES e XRay carica la CPU al 70-80% con traffico di 100 Mbps.

Shadowsocks-2022: compromesso tra velocità e mascheramento

Shadowsocks-2022 — versione aggiornata del vecchio protocollo con crittografia migliorata (AEAD-2022). Il mascheramento è peggiore di Reality, ma migliore di WireGuard puro. Il traffico sembra dati casuali, il che rende già più difficile l'analisi della firma.

Vantaggio principale per hardware debole: il carico della CPU è inferiore a XRay. Su Orange Pi 3 LTS la differenza nel carico della CPU tra Shadowsocks-2022 e XRay può raggiungere il 30-40%. Se hai una scheda ARM Cortex-A53 — Shadowsocks-2022 è una scelta più pratica.

Amnezia VPN: soluzione pronta su hardware ordinario

Amnezia — progetto open-source russo che prende WireGuard e aggiunge pacchetti spazzatura (junk packets) prima dell'handshake reale. DPI non può riconoscere la firma di WireGuard, perché vede una sequenza di pacchetti non standard.

AmneziaWG funziona praticamente su qualsiasi hardware dove funziona WireGuard ordinario — l'overhead è minimo. Le applicazioni client esistono per Android, iOS, Windows, macOS. Buona soluzione se hai già configurato WireGuard e vuoi aggiungere rapidamente la protezione da DPI senza reinstallare tutto.

OpenVPN e IKEv2: quando ha ancora senso usarli

OpenVPN su TCP sulla porta 443 — schema vecchio ma funzionante. Il traffico sembra HTTPS per la maggior parte dei provider senza analisi approfondita. La velocità è inferiore a WireGuard del 30-50%, il carico della CPU è superiore. Ma funziona quasi ovunque ed è supportato da assolutamente tutti i client.

IKEv2 — per scenari aziendali e iOS (supporto integrato). Nel contesto dell'aggiramento dei blocchi RKN — scelta debole: viene bloccato relativamente facilmente. Usa solo se hai bisogno di compatibilità con una soluzione aziendale specifica.

Configurazione passo dopo passo del server VPN su hardware economico

Installazione del sistema operativo: Debian/Ubuntu vs Alpine Linux per risparmiare risorse

Su Raspberry Pi 4 usa Raspberry Pi OS Lite (64-bit) — è Debian ottimizzato per questa piattaforma. Scarica da raspberrypi.com ufficiale, versione senza desktop (Lite). Registra tramite Raspberry Pi Imager — configura anche SSH e hostname prima del primo avvio.

Per mini-PC su x86 — Debian 12 Bookworm Minimal o Ubuntu Server 24.04 LTS. Alpine Linux risparmia RAM, ma i repository sono più scarsi e alcuni pacchetti devono essere compilati manualmente. Per un principiante è un fastidio in più.

Installazione di WireGuard in 10 minuti: comandi e configurazione

Su Debian/Ubuntu:

apt update && apt install -y wireguard
wg genkey | tee /etc/wireguard/server_private.key | wg pubkey > /etc/wireguard/server_public.key
chmod 600 /etc/wireguard/server_private.key

Configurazione /etc/wireguard/wg0.conf:

[Interface]

# Chiave privata del server PrivateKey = <contenuto server_private.key> # Indirizzo del server nella rete VPN Address = 10.0.0.1/24 # Porta — meglio non standard, ma se il provider blocca UDP — problema ListenPort = 51820 # Abilitiamo l'inoltro del traffico PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE [Peer] # Chiave pubblica del client PublicKey = <client_public.key> AllowedIPs = 10.0.0.2/32

Abilitare e avviare:

echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
sysctl -p
systemctl enable wg-quick@wg0
systemctl start wg-quick@wg0

Se il vostro provider blocca il traffico UDP su porte non standard — cambiate ListenPort a 53 (DNS) o usate wstunnel per incapsulare WireGuard in WebSocket.

Installazione XRay/VLESS con Reality su mini-PC o single-board computer

Script ufficiale di installazione XRay (versione 1.8.x e successive):

bash -c "$(curl -L https://github.com/XTLS/Xray-install/raw/main/install-release.sh)" @ install

Dopo l'installazione, la configurazione si trova in /usr/local/etc/xray/config.json. Per Reality occorre generare una coppia di chiavi:

xray x25519

Nella configurazione specificate "dest": "www.microsoft.com:443" — XRay instraderà le connessioni non riconosciute a Microsoft, creando un mascheramento convincente.

Collegamento client: Android, iPhone, Windows, router

WireGuard Android/iOS: applicazione ufficiale WireGuard da Play Store/App Store. Generato il codice QR della configurazione con il comando qrencode -t ansiutf8 < client.conf, scansionatelo con il telefono.

VLESS/XRay su Android: applicazione v2rayNG (Google Play). Copiate il link del tipo vless://uuid@ip:443?..., incollatelo nell'applicazione.

VLESS/XRay su iOS: applicazione Streisand o Shadowrocket (a pagamento, $2.99). Importazione dello stesso link.

Windows: per WireGuard — client ufficiale wireguard.com, importazione del file .conf. Per XRay — Nekoray o Hiddify.

Monitoraggio e sicurezza: fail2ban, aggiornamenti automatici

Set minimo per la sicurezza:

apt install -y fail2ban unattended-upgrades
systemctl enable fail2ban
dpkg-reconfigure -plow unattended-upgrades

Fail2ban chiude automaticamente il brute-force SSH. Unattended-upgrades installa le patch di sicurezza senza il vostro intervento. Cambiate la porta SSH da 22 a qualcosa di non standard e disabilitate l'autenticazione con password — solo chiavi.

Cosa non funziona e errori tipici nella scelta dell'hardware

Perché l'IP domestico non va bene per VPN in Russia

Anche se avete risolto il problema CGNAT e ottenuto un IP statico dal provider — un indirizzo IP domestico è problematico per un'altra ragione.

I provider russi hanno il diritto e le capacità tecniche di bloccare indirizzi IP specifici dei loro utenti su richiesta. Inoltre il vostro IP rientra nella gamma di un provider russo — alcuni servizi esteri lo filtrano ulteriormente.

Schema corretto: hardware domestico + VPS all'estero come nodo di uscita. A casa c'è un Raspberry Pi o un mini-PC, si connette tramite tunnel al vostro server in Germania, tutto il traffico passa attraverso un IP tedesco. Così nessuno conosce il vostro indirizzo domestico.

Router senza NAT hardware: collo di bottiglia sulla velocità

Molti router economici con OpenWRT non hanno accelerazione hardware del NAT. Con traffico VPN tutto l'inoltro passa attraverso la CPU, che sui router MIPS del 2016-2018 è francamente debole. La velocità reale può essere di 20-40 Mbit/s rispetto ai teorici 300 Mbit/s del router.

GL.iNet su MediaTek MT7621/MT7981 è meglio — il Software Flow Offloading funziona e dà un aumento tangibile. Ma l'hardware più vecchio del 2020 con processore MIPS per un server VPN è spazzatura, non sprecate tempo.

Single-board con Ethernet a 100 Mbit/s — limite nascosto

Orange Pi Zero, Banana Pi M2 Zero, alcuni primi Raspberry Pi — hanno fisicamente Ethernet a 100 Mbit/s o solo WiFi. WireGuard può erogare 300 Mbit/s per CPU, ma la rete sarà un collo di bottiglia a 100 Mbit/s. Controllate le specifiche prima dell'acquisto.

Raspberry Pi 4 e 5 — Ethernet gigabit. Orange Pi 3 LTS — anche gigabit. Questo è il minimo per un uso normale.

Calore e stabilità: problemi del funzionamento 24/7 dell'hardware economico

Raspberry Pi 4 senza raffreddamento sotto carico continuo passa da 1800 MHz a 600 MHz. Questo è un problema reale con un server VPN 24/7. Comprate un case con dissipatore passivo per 300-500 rubli — risolve completamente il problema senza una sola ventola.

I mini-PC economici cinesi tipo "no-name N100" a volte hanno un modulo WiFi instabile e un alimentatore mediocre. Collegati via Ethernet, il WiFi per un server non serve neanche. Prendete un alimentatore generoso — uno economico 12V/1A sotto carico può avere cali.

Una storia a parte — gli hosting economici in località esotiche ($1/mese per VPS in Moldavia o Kazakistan): interruzioni di corrente, connessione instabile, talvolta semplicemente offline per diverse ore. Hetzner, Contabo, DigitalOcean — pagate $2 in più, ma dormirete tranquilli.

Alternativa al vostro server: quando è meglio scegliere una VPN pronta

Quando l'hosting autonomo non è conveniente

Il vostro server VPN su hardware economico — è un progetto. Non un'applicazione, non un abbonamento, ma proprio un progetto con configurazione iniziale, manutenzione periodica e risoluzione di problemi tipo "il server si è bloccato alle 3 di notte e tutta la casa è senza internet".

Contiamo il vero TCO: Raspberry Pi 4 (~5000 rubli una volta) + case con raffreddamento (~500 rubli) + scheda microSD (~600 rubli) = ~6100 rubli una volta. Elettricità: ~4 W × 24 h × 30 giorni × 6 rubli/kWh = ~17 rubli al mese. VPS all'estero (Hetzner CX11, 2 GB RAM, Germania) = ~$3.5/mese ≈ 320 rubli.Totale: ~6100 rub ingresso + ~340 rub/mese. Per 6 mesi questo è ~8100 rubli. Più il vostro tempo per la configurazione e il supporto.

Un servizio VPN già pronto con un normale supporto per aggirare i blocchi costa 100-500 rubli al mese. Per 6 mesi — 600-3000 rubli, zero tempo per la configurazione. Per gli utenti non tecnici la scelta è ovvia.

NvoVPN e altri servizi come alternativa già pronta senza hardware

Se non volete occuparvi di configurazioni e aggiornamenti, un servizio già pronto è una scelta ragionevole. NvoVPN, ad esempio, supporta già i moderni protocolli per aggirare il DPI e non richiede l'acquisto di alcun hardware — semplicemente scaricate l'applicazione e vi connettete.

Un vostro server ha senso se: avete conoscenze tecniche e il desiderio di controllare ogni aspetto, siete pronti per un investimento di tempo, oppure avete requisiti specifici (ad esempio, un IP in uscita specifico per lavorare con determinati servizi). In altri casi — valutate sobriamente se ne vale la pena.

giorni più acquisto una tantum di ~4000-5500 rubli. Approssimativamente paragonabile a un buon servizio VPN, ma richiede competenze tecniche e tempo per il supporto.