Router VPN economico 2026: scelta e configurazione

Se stai leggendo questo, probabilmente hai già provato a installare l'app VPN su ogni dispositivo singolarmente — e sei stanco. Il telefono e il laptop possono ancora andare e venire, ma Smart TV, Apple TV o PlayStation senza un client VPN nativo diventano un mal di testa. Un router VPN economico risolve questo problema una volta per tutte: un tunnel per tutta la rete domestica. Ma ne emerge subito un altro: non tutta l'hardware economico riesce a gestire la crittografia senza trasformare la tua connessione internet da un gigabit a 25 Mbit/s.

Ecco di cosa tratta questo materiale: come scegliere un buon router VPN economico, non comprare un mattone, configurare WireGuard e non perdere metà della velocità.

Perché avere una VPN sul router e a chi serve

Risposta onesta: non a tutti. Se hai due dispositivi — telefono e laptop — è più semplice installare l'app. Un router VPN è giustificato quando ci sono molti dispositivi, alcuni dei quali senza supporto VPN, e vuoi aggirare i blocchi di YouTube, Instagram, Facebook, Twitter/X senza dover fare magie su ogni dispositivo.

Un VPN per tutti i dispositivi a casa subito

Un router con VPN è un proxy per tutta la rete. Ti connetti — e il tuo telefono, tablet, laptop, televisore e console già passano attraverso il tunnel. Non c'è bisogno di configurare ogni dispositivo singolarmente. Gli ospiti arrivano a casa, si connettono al tuo Wi-Fi — e anche loro sono automaticamente sotto VPN.

Quando il router è più comodo dell'app sul telefono

L'app sul telefono deve essere attivata manualmente, a volte si disconnette, deve essere aggiornata. Un router con VPN configurata correttamente funziona costantemente, dal momento dell'accensione. Questo è particolarmente importante per i dispositivi IoT: lampadine intelligenti, televisori, console — non sanno affatto gestire i client VPN.

Smart TV, Apple TV e console senza supporto per app VPN

Su Android TV puoi ancora installare qualche client. Ma Samsung Tizen, LG webOS, Apple TV, PlayStation, Xbox — dimentica il VPN nativo. L'unico modo per far passare il loro traffico attraverso un tunnel è farlo a livello di router. È qui che il router VPN è indispensabile.

Svantaggi: canale condiviso, velocità divisa tra tutti

E qui c'è il problema principale dell'hardware economico. Tutto il traffico dell'intera rete domestica viene crittografato da un singolo processore del router. Se questo processore è debole — la velocità viene divisa non solo tra i dispositivi, ma viene anche ridotta dalla stessa crittografia. Avviando un video 4K sulla TV e un download sul laptop — il router potrebbe semplicemente non farcela.

Cosa significa "economico" e dove si trova il limite del risparmio

Un router da 1500 ₽ e un router da 4000 ₽ sono cose diverse. Il prezzo nel segmento dei modelli economici correla direttamente con la potenza del SoC. Non è marketing, è fisica: la crittografia AES256 o ChaCha20 richiede cicli del processore, e un chip debole semplicemente non riesce a stare al passo.

Budget fino a 3000 ₽: cosa aspettarsi realmente

In questa fascia di prezzo troverai router con MediaTek MT7621, Qualcomm IPQ4018/4019 e simili. MT7621, ad esempio, si trova nel Xiaomi Mi Router 3G e in diversi TP-Link Archer. Su WireGuard, questo hardware offre da 50 a 150 Mbit/s — dipende dal chip specifico e dal firmware. Su OpenVPN, ci si può realisticamente aspettare 20–50 Mbit/s.

Opzioni davvero economiche fino a 2000 ₽ — router su MT7628 o AR9341 — sono già onestamente scadenti. Lì si ottengono 10–30 Mbit/s su OpenVPN, e non c'è da sorprendersi.

Il parametro principale — processore e supporto per crittografia hardware

Guarda due parametri: frequenza CPU (vuoi almeno 800–880 MHz) e presenza di accelerazione hardware AES. MT7621 supporta AES hardware, ma solo nei firmware di fabbrica — in OpenWrt spesso non è attivato. IPQ4019 con crypto-engine hardware funziona meglio. RAM — minimo 128 MB, altrimenti OpenWrt semplicemente non si installa correttamente.

Perché un router economico riduce la velocità di WireGuard e OpenVPN

WireGuard utilizza ChaCha20 — un algoritmo ottimizzato per la crittografia software senza hardware speciale. Su una CPU debole funziona meglio di AES. OpenVPN, d'altra parte, aggiunge sovraccarichi per il handshake TLS, funziona in user-space attraverso un'interfaccia tun e carica di più il processore. La differenza può essere doppia sullo stesso router.

Router usato con supporto per firmware personalizzati come opzione

È davvero una buona idea, di cui pochi parlano. Keenetic Giga o Ultra delle generazioni passate su Avito costano 1500–2500 ₽ e hanno un buon processore, supporto per WireGuard nel firmware originale e una grande comunità. Asus RT-AC68U usato per 2000–3000 ₽ gestisce Asus Merlin e OpenVPN a velocità decenti. L'importante è verificare che il firmware sia compatibile con la specifica revisione della scheda.

Quali protocolli supporta un router economico: WireGuard, OpenVPN, IKEv2

La scelta del protocollo su un router economico è un compromesso tra carico sulla CPU, compatibilità e resistenza alla rilevazione da parte del provider. Roskomnadzor utilizza da tempo DPI — sistemi di ispezione profonda dei pacchetti — e alcuni provider rallentano attivamente il traffico VPN.

WireGuard — il più leggero per hardware debole

WireGuard funziona nel kernel di Linux a partire dalla versione 5.6, utilizza crittografia moderna (ChaCha20, Poly1305, Curve25519) e ha una base di codice minimalista. Sullo stesso MT7621, WireGuard offre circa 2–3 volte la velocità di OpenVPN. Se il tuo provider VPN supporta WireGuard — prendilo.

OpenVPN — il più esigente, riduce la velocità più di tutti

OpenVPN funziona in user-space, ogni pacchetto passa attraverso TLS, e il processore riceve un carico serio. Su router di livello base, questo dà 15–40 Mbit/s invece dei possibili 100+. La compatibilità di OpenVPN è la migliore nel settore — funziona ovunque. Ma per un router economico non è la prima scelta.

IKEv2/IPsec — compromesso sul carico

IKEv2 funziona in kernel-space e carica il processore meno di OpenVPN. Su router con accelerazione hardware IPsec (ad esempio, alcuni Keenetic) è davvero veloce. Svantaggio: la configurazione è più complessa, e non tutti i provider supportano IKEv2 per i router.

Shadowsocks, VLESS/XRay e Amnezia contro DPI e rallentamenti

Ecco dove inizia l'interessante. I protocolli standard WireGuard e OpenVPN hanno firme riconoscibili — DPI li vede. Se il provider taglia attivamente il traffico VPN, il tunnel può alzarsi, ma la velocità sarà zero. Shadowsocks maschera il traffico come un flusso casuale, VLESS/XRay mimetizza come HTTPS, Amnezia — un fork di WireGuard con offuscamento degli header.

Ma c'è un dettaglio: questi protocolli non sono sempre supportati di default dai router economici. Su OpenWrt, Shadowsocks si installa tramite il pacchetto shadowsocks-libev, XRay — tramite una build separata. Funziona, ma richiede conoscenze e tempo.

Perché una VPN normale a volte non supera i blocchi del provider

I provider, su ordine di Roskomnadzor, utilizzano TSPU (mezzi tecnici per contrastare le minacce) — si tratta di attrezzature con DPI, in grado di rallentare specifici tipi di traffico senza interrompere la connessione. C'è un tunnel, i pacchetti passano, ma con una velocità di 1–2 Mbit/s. In questo caso, solo i protocolli mascheranti aiutano. Keenetic o OpenWrt con Amnezia WireGuard — una soluzione funzionante.

Firmware per router VPN: OpenWrt, Keenetic, Padavan, Asus Merlin

Molti router economici di fabbrica supportano VPN a livello PPTP o L2TP: sono protocolli obsoleti con sicurezza minima. WireGuard e un buon OpenVPN richiedono o un produttore corretto (Keenetic, Asus) o un cambio di firmware.

Firmware di fabbrica vs firmware personalizzato

Se il router è Keenetic o Asus, di solito il firmware di fabbrica è sufficiente. Xiaomi, TP-Link serie economiche, Tenda — lì il firmware OpenVPN di fabbrica o non c'è, oppure è tale che sarebbe meglio non averlo. Per loro serve OpenWrt o Padavan. Avviso: il flashing può trasformare il router in un mattone, soprattutto se si prende la versione sbagliata per la revisione della scheda. Controlla la tabella di compatibilità su wiki.openwrt.org.

OpenWrt — flessibilità e supporto per WireGuard

OpenWrt supporta WireGuard a partire dalla versione 19.07, pacchetto kmod-wireguard. C'è un'interfaccia web LuCI con il plugin luci-app-wireguard. È un Linux completo, si può installare qualsiasi cosa: Shadowsocks, XRay, Amnezia. Contro — l'interfaccia non è la più amichevole, e per alcune SoC l'accelerazione hardware AES in OpenWrt non funziona, il che riduce la velocità.

Keenetic KeenDNS e client VPN integrato

Keenetic è probabilmente la migliore opzione per chi non vuole smanettare nella console. I modelli su Mediatek MT7628 (Keenetic Lite) supportano WireGuard tramite il gestore di pacchetti OPKG. I modelli più vecchi su IPQ4019 (Keenetic Giga) gestiscono WireGuard a buone velocità. L'interfaccia è comprensibile, il supporto è normale.

Asus Merlin per router Asus

Asus Merlin è un firmware personalizzato basato su quello ufficiale Asus, con funzionalità avanzate. Funziona su RT-AC68U, RT-AC86U e altri. Supporta OpenVPN, WireGuard (a partire dalla versione 386.x) e script per la configurazione del routing. Il rischio di flashing è minimo: il firmware è vicino a quello ufficiale.

Supporto per Amnezia e bypass DPI sul router

Amnezia WG sul router è reale, ma non out of the box. Serve una versione di OpenWrt con supporto amnezia-wg (il pacchetto è apparso nel 2025), oppure compilazione manuale. XRay sul router si installa tramite il pacchetto xray-core in OpenWrt. Funziona, ma sii pronto a spendere un'ora o due.

Configurazione passo-passo della VPN sul router (esempio WireGuard)

Mostrerò con l'esempio di Keenetic con il pacchetto WireGuard installato, ma i passaggi per OpenWrt sono simili: cambiano solo i nomi dei punti di menu.

Passo 1: ottenere la configurazione VPN dal provider

Accedi al pannello di controllo del tuo servizio VPN e scarica la configurazione WireGuard. È un file .conf con le sezioni [Interface] e [Peer]. Contiene PrivateKey, Address, DNS e impostazioni del server (PublicKey, Endpoint, AllowedIPs). Se usi NvoVPN, la configurazione per il router è disponibile nella sezione "I miei dispositivi" — lì puoi anche scegliere il server desiderato.

Passo 2: accedere all'amministrazione del router

Di solito è 192.168.1.1 o 192.168.0.1, si apre nel browser. Su Keenetic — my.keenetic.net. Assicurati di essere su una connessione cablata o su un Wi-Fi affidabile: durante la configurazione, internet scomparirà temporaneamente.

Passo 3: aggiungere il tunnel WireGuard e importare la configurazione

Su Keenetic: Gestione → Applicazioni → WireGuard → Aggiungi configurazione. Puoi incollare il contenuto del file .conf per intero. In OpenWrt: Rete → Interfacce → Aggiungi nuova interfaccia → Protocollo: WireGuard. I campi si compilano manualmente — Private Key, Listen Port (puoi lasciare vuoto), poi aggiungi peer con Public Key, Endpoint, Allowed IPs.

Passo 4: routing — tutto il traffico o selettivo

AllowedIPs = 0.0.0.0/0 significa che tutto il traffico passa attraverso la VPN. È più semplice, ma anche il carico sul router è massimo. Se vuoi far passare solo la Smart TV attraverso la VPN, mentre il laptop direttamente, questo si chiama split-tunneling o policy-based routing.

In OpenWrt si fa tramite ip rule e tabelle di routing separate per indirizzo IP del dispositivo. In Keenetic — tramite la sezione "Rotte" e il legame a dispositivi specifici nella rete. In Asus Merlin — tramite script in /jffs/scripts/. Il vantaggio è reale: la TV passa attraverso la VPN, il laptop riceve la piena velocità del provider senza crittografia.

Passo 5: verifica delle perdite DNS e IP

Dopo aver attivato il tunnel, accedi da qualsiasi dispositivo nella rete a ipleak.net o dnsleak.com. Dovresti vedere l'IP del server VPN, non il tuo reale. I server DNS dovrebbero anche essere del VPN, non del provider. Se nei DNS vedi indirizzi del tuo provider — è una perdita. Si risolve aggiungendo i server DNS del VPN nelle impostazioni dell'interfaccia del router (campo DNS nella sezione [Interface] della configurazione WireGuard).

Passo 6: test della velocità prima e dopo

La metodologia è semplice: misura la velocità su speedtest.net prima di attivare la VPN, poi con il tunnel attivato. Esegui il test dal laptop via cavo, per escludere il Wi-Fi come fattore. Un calo normale su WireGuard e un router economico è del 20-40%. Se scende oltre il 70% — il problema è o nel processore debole, o nella scelta del server (prendi quello più vicino geograficamente).

Bypass delle restrizioni su Smart TV e console tramite router

Questa è la principale ragione per cui le persone guardano verso i router VPN. Su Smart TV non ci sono buone applicazioni VPN, e YouTube viene rallentato periodicamente dai provider — e guardare in 4K si trasforma in uno slideshow.

YouTube e rallentamento sulla TV

Alcuni provider in Russia rallentano YouTube a livello di rete tramite TCP. La TV non può fare nulla da sola. Ma se il suo traffico passa attraverso un router VPN con un protocollo funzionante — il rallentamento viene rimosso, perché il provider vede un tunnel crittografato, non il traffico di YouTube. Importante: se il DPI inizia a rilevare anche WireGuard, è necessaria l'offuscamento.

Instagram, Facebook, Twitter/X su Smart TV e Apple TV

Instagram, Facebook e Twitter/X sono bloccati in Russia a livello di Roskomnadzor. Su Apple TV non ci sono applicazioni VPN. Un router con VPN è l'unica soluzione. Dopo aver collegato Apple TV alla tua rete, il traffico passa automaticamente attraverso il tunnel, e il browser su Apple TV o le applicazioni aprono risorse bloccate senza ulteriori impostazioni sul dispositivo stesso.

TikTok e WhatsApp su dispositivi senza applicazioni VPN

TikTok nel 2026 funziona in Russia, ma con periodiche instabilità e rallentamenti per alcuni provider. WhatsApp — in modo simile. Se hai una smart TV con browser o una console di gioco con funzione browser, un router VPN risolve il problema senza alcuna impostazione sul dispositivo stesso.

Telegram e bypass delle restrizioni su console

Telegram in Russia funziona tecnicamente, ma periodicamente subisce rallentamenti o restrizioni puntuali. Su PlayStation e Xbox non ci sono applicazioni Telegram, ma se il browser della console incontra blocchi — un router con VPN risolve il problema in modo trasparente per il dispositivo.

Un dettaglio: le Smart TV a volte memorizzano la geolocalizzazione. Se la TV ha determinato la tua regione prima di attivare il router VPN — potrebbe continuare a limitare i contenuti anche dopo il cambio di IP. Soluzione: riavvia la Smart TV dopo aver attivato il tunnel VPN sul router, e in alcuni casi è necessario cancellare la cache DNS nelle impostazioni della TV.

Situazioni comuni di cui nessuno avverte

Alcuni veri problemi che si incontrano durante la configurazione di un router VPN economico.

IP grigio dietro NAT del fornitore. Se il fornitore ti assegna un indirizzo dell'intervallo 10.x.x.x o 100.64.x.x — sei dietro un doppio NAT. Alcune configurazioni VPN con port forwarding potrebbero non funzionare. WireGuard con un server esterno (client → server) funziona normalmente — non richiede connessioni in ingresso.

Router del fornitore con firmware bloccato. Molti fornitori forniscono router in affitto con la possibilità di cambiare il firmware bloccata e accesso chiuso alle impostazioni avanzate. L'unica opzione è acquistare il proprio router e collegarlo in modalità DHCP-client.

Doppio NAT. Se colleghi il tuo router dietro a quello del fornitore — hai due reti: 192.168.1.x quella del fornitore e 192.168.0.x la tua. La VPN di solito funziona, ma la velocità può diminuire a causa della doppia traduzione. Prova a mettere il tuo router in DMZ su quello del fornitore, o a utilizzare la modalità bridge/transparent.

DPI rileva WireGuard. Il tunnel è attivo, il handshake è andato a buon fine, ma il ping non va o va a 1 Mbit/s. Questo TSPU taglia il traffico per firma. Passa a Amnezia WG o Shadowsocks.

OpenWrt senza AES hardware. Su alcuni chip OpenWrt non utilizza il crypto-engine hardware. Ad esempio, su MT7621 l'AES hardware è disponibile solo tramite una patch speciale o nel firmware del produttore. Nella versione standard di OpenWrt sullo stesso hardware la velocità di OpenVPN può essere 3-4 volte inferiore rispetto al firmware di fabbrica. Non è un bug — è una caratteristica dell'implementazione. Soluzione: WireGuard invece di OpenVPN, o una build di OpenWrt con patch hwcrypto.