IKEv2 vs WireGuard: cosa scegliere per bypassare i blocchi

Se stai confrontando ikev2 vs wireguard, è probabile che tu abbia già deciso che hai bisogno di una VPN: la domanda è quale protocollo funzioni realmente nelle reti russe nel 2026. La risposta onesta è scomoda: entrambi i protocolli possono fallire se il tuo provider utilizza DPI. Ma c'è una reale differenza tra di loro, e questa è importante a seconda di cosa vuoi fare.

In breve: cosa scegliere nel 2026

WireGuard è più veloce, più leggero e consuma meno batteria. IKEv2 gestisce meglio il passaggio tra Wi-Fi e LTE. Entrambi i protocolli vengono rilevati dai sistemi DPI di Roskomnadzor e possono essere bloccati o rallentati dai provider: non è marketing, è un fatto con cui bisogna fare i conti.

Per la maggior parte delle attività — YouTube, Instagram, Telegram — la scelta tra questi due protocolli è secondaria. Se il provider taglia il traffico VPN per firma, né WireGuard né IKEv2 in forma pura ti salveranno. È necessaria l'offuscamento.

WireGuard — quando hai bisogno di velocità

WireGuard vince nelle connessioni fisse — a casa, in ufficio, dove la rete non salta. Funziona nel kernel di Linux, con latenze più basse e un carico minore sulla CPU. Su dispositivi Android di fascia media, la differenza di velocità rispetto a IKEv2 è evidente ad occhio nudo.

Se rimani su un Wi-Fi tutto il giorno e vuoi fare streaming video o scaricare torrent tramite VPN — WireGuard è una scelta logica. A condizione che il provider non lo tagli.

IKEv2 — quando la stabilità è importante sui dispositivi mobili

Su iPhone e in roaming, IKEv2 vince grazie al protocollo MOBIKE. Questo è un meccanismo integrato che consente alla connessione di sopravvivere al cambio di indirizzo IP senza interruzioni: sei uscito dalla metropolitana, il telefono è passato da Wi-Fi a LTE, il tunnel è rimasto attivo. WireGuard non lo fa di default, e la pausa durante il riconnessione può essere evidente.

Un altro argomento: IKEv2 è integrato in iOS, macOS e Windows. Nessuna applicazione, si configura direttamente nelle impostazioni di sistema.

Quando entrambi i protocolli non aiutano contro i DPI

Questo è il principale punto che la maggior parte dei confronti tra ikev2 e wireguard ignora. Entrambi i protocolli hanno firme riconoscibili nel traffico. I moderni sistemi DPI — e in Russia i provider sono obbligati a usarli secondo la legge sull'internet sovrano — sono in grado di rilevarli. Gli utenti di MTS, Beeline e Rostelecom in alcune regioni ne soffrono particolarmente.

Se senti che la VPN funziona in modo instabile, si interrompe senza motivi apparenti o la velocità diminuisce proprio durante il tunnel attivo — è probabile che il problema non sia nella scelta del protocollo, ma nel fatto che il provider lo sta tagliando.

Come sono strutturati IKEv2 e WireGuard

I dettagli tecnici non sono importanti per la bellezza, ma per capire perché i protocolli si comportano in questo modo nelle condizioni reali.

Architettura e crittografia di WireGuard

WireGuard è scritto in circa 4000 righe di codice — questo è fondamentale. A titolo di confronto, OpenVPN ha decine di migliaia di righe. Meno codice significa meno potenziali vulnerabilità e un audit più semplice. Il protocollo utilizza ChaCha20 per la crittografia, Curve25519 per lo scambio di chiavi, Poly1305 per l'autenticazione. Tutto ciò è crittografia moderna, ben ottimizzata per i processori mobili.

WireGuard funziona come un modulo del kernel di Linux. Nella pratica, ciò significa che i pacchetti vengono elaborati a livello di OS, bypassando strati superflui. Da qui la bassa latenza e il risparmio di batteria.

IKEv2/IPsec: come funziona la combinazione

IKEv2 non è un protocollo VPN autonomo, ma la metà di una coppia. IKEv2 si occupa della negoziazione delle chiavi e dell'autenticazione, IPsec crittografa e trasmette direttamente i dati. Questa architettura è più vecchia: IKEv2 è apparso nel 2005 come aggiornamento dell'originale IKE — e questo spiega sia i suoi punti di forza (affidabilità, supporto ovunque) sia le debolezze (complessità di configurazione, maggiore consumo di risorse).

MOBIKE è un'estensione di IKEv2 che garantisce un cambio di IP senza soluzione di continuità durante il roaming. Non è un'opzione, è parte dello standard. Ecco perché le soluzioni VPN aziendali di Cisco, Juniper e Check Point sono ancora basate su IKEv2/IPsec.

Dimensione della base di codice e audit di sicurezza

WireGuard ha superato un audit crittografico indipendente nel 2019 — Trail of Bits e altre aziende hanno trovato alcuni problemi minori, tutti risolti. IKEv2/IPsec è uno standard che esiste da tempo ed è ben studiato, ma negli stack IPsec di diversi fornitori vengono occasionalmente trovate vulnerabilità proprio a causa della complessità di implementazione.

Dal punto di vista della sicurezza, entrambi i protocolli sono accettabili per un uso normale. Non c'è bisogno di essere paranoici al riguardo.

Confronto secondo criteri chiave

Velocità e carico sulla CPU

Nella pratica WireGuard è più veloce: è una valutazione onesta, non pubblicità. La differenza è particolarmente evidente su processori deboli: telefoni Android economici, router vecchi, Raspberry Pi. IKEv2/IPsec richiede più operazioni per la crittografia e la decrittografia, anche se sui moderni flagship con accelerazione hardware AES il divario è minimo.

Se hai un iPhone 15 o un flagship Android, non sentirai quasi alcuna differenza. Se il telefono è del 2020 con Snapdragon 665, WireGuard è notevolmente più veloce.

Stabilità durante il cambio di rete (roaming)

Ecco dove IKEv2 vince realmente. MOBIKE consente al client di cambiare indirizzo IP senza ricreare l'intero tunnel. Per gli utenti mobili che viaggiano in metropolitana o passano costantemente tra il Wi-Fi domestico e Internet mobile, questo è fondamentale.

WireGuard di solito si riconnette in 1-5 secondi durante il cambio di rete. A volte più veloce, a volte è necessario intervenire manualmente. Dipende dall'implementazione del client e del server. Alcuni servizi risolvono questo problema con pacchetti keepalive ogni 25 secondi, ma è un palliativo, non una soluzione.

Consumo della batteria su Android e iPhone

WireGuard è più efficiente. Questo è spiegato dall'architettura: meno operazioni, lavoro nel kernel, algoritmi efficienti. Nella pratica, la differenza nel consumo della batteria dopo un giorno di utilizzo è di alcuni punti percentuali. Non è catastrofico, ma si fa sentire sui telefoni con batterie piccole.

IKEv2 su iPhone funziona abbastanza bene, considerando l'integrazione nativa: Apple ha ottimizzato lo stack. Ma WireGuard è comunque più efficiente, se si guarda ai numeri.

Comportamento con DPI e blocchi dei provider

Entrambi i protocolli si mascherano male. WireGuard funziona solo su UDP e ha un handshake riconoscibile. IKEv2 utilizza le porte UDP 500 e 4500, che i provider hanno imparato a bloccare. I sistemi DPI, implementati nell'ambito del TCP/IP, possono rilevare entrambi i tipi di traffico.

Se il provider blocca completamente UDP, né WireGuard né IKEv2 si connetteranno. Questa è una storia comune nelle reti aziendali, negli hotel e su alcuni operatori mobili. In questi casi è necessario un protocollo sopra TCP/443, altrimenti non c'è modo.

Bypass dei blocchi: dove il protocollo non è affatto importante

Qui è più importante essere onesti. La disputa tra ikev2 e wireguard diventa secondaria quando il tuo provider taglia attivamente il traffico VPN. E nel 2026 in Russia questo non è uno scenario ipotetico: è una realtà per parte degli utenti.

Perché WireGuard puro viene bloccato

WireGuard utilizza un formato fisso dei pacchetti e solo UDP. Il suo handshake non assomiglia a nient'altro nella rete: questo è positivo dal punto di vista della sicurezza, ma negativo dal punto di vista della mascheratura. Il DPI vede il pattern e interrompe la connessione o la rallenta a valori inaccettabili.

I provider non bloccano WireGuard perché sanno che è una VPN. Lo bloccano perché il sistema è configurato per connessioni UDP "sconosciute" con determinate caratteristiche. Il risultato è lo stesso.

Offuscamento: VLESS/XRay, Shadowsocks, Amnezia (AmneziaWG)

AmneziaWG è una modifica di WireGuard che maschera il traffico, aggiungendo dati casuali nell'handshake e cambiando le dimensioni dei pacchetti. Il DPI vede qualcosa di simile a un normale traffico rumoroso, e non WireGuard. Il progetto è open source, in fase di sviluppo attivo, con client disponibili per Android, iOS, Windows e Linux.

VLESS/XRay è un protocollo sopra TLS, il traffico è praticamente indistinguibile da HTTPS. Funziona tramite TCP/443, passando attraverso la maggior parte dei firewall aziendali. È più complesso da configurare, ma più affidabile in reti aggressive. Shadowsocks è una soluzione più vecchia, ma collaudata, con una logica simile.

Al alcuni servizi VPN, in particolare NvoVPN, offrono diversi protocolli tra cui scegliere, comprese le varianti offuscate. È sensato: un'applicazione, diversi strumenti per diverse situazioni, senza la necessità di districarsi manualmente con le configurazioni di XRay.

Bypass del rallentamento di YouTube e dei blocchi di Instagram, Facebook, Twitter/X

YouTube viene rallentato non perché blocchino YouTube stesso. Il traffico verso i server Google viene interrotto proprio nei punti di scambio del traffico. Se la VPN instrada il tuo traffico attraverso un server all'estero e il traffico VPN stesso non viene interrotto, YouTube funziona normalmente.

Instagram, Facebook e Twitter/X sono stati bloccati dalla decisione di Roskomnadzor. Qualsiasi VPN con un tunnel funzionante li apre. Il problema è ancora una volta che questo tunnel si alzi e non venga interrotto dal provider.

Accesso a Telegram, WhatsApp, TikTok

Telegram in Russia è stato formalmente sbloccato nel 2020, ma in alcune reti aziendali ed educative viene ancora interrotto. WhatsApp funziona senza VPN, TikTok — anche per ora, anche se la situazione è cambiata più volte.

Per Telegram, la VPN è raramente necessaria, ma se lo è, qualsiasi tunnel funzionante farà al caso. È molto più rilevante il compito di "aprire Telegram", ma di "fare in modo che la VPN funzioni nella tua rete specifica".

Supporto ai dispositivi e configurazione

Questa è una sezione pratica. Dove e come configurare realmente ogni protocollo, senza fronzoli.

Android e iPhone/iOS

Su Android entrambi i protocolli richiedono un'app. WireGuard è il client ufficiale dal Google Play, semplice e comprensibile. IKEv2 è integrato nella sezione VPN delle impostazioni standard di Android, ma le impostazioni specifiche dipendono dal server. Non esiste un client IKEv2 ufficiale da Google, molti usano app di terze parti come strongSwan.

Su iPhone è tutto più interessante. IKEv2 si configura direttamente in "Impostazioni → Generali → VPN", senza installare nulla di aggiuntivo. Comodo, affidabile, funziona su Apple TV tramite tvOS esattamente allo stesso modo. WireGuard richiede un'app dal App Store — è ufficiale e buona, ma è un passaggio in più.

Windows e Mac

Su Windows IKEv2 è integrato — si configura tramite "Impostazioni → Rete → VPN" in pochi minuti, se hai i dati del server. WireGuard su Windows richiede l'installazione del client ufficiale, importazione della configurazione. Un po' più complicato, ma non di molto.

Su macOS la situazione è simile: IKEv2 nelle impostazioni di sistema, WireGuard — un'app separata dal Mac App Store. Entrambi funzionano in modo stabile. Per sviluppatori e utenti tecnicamente esperti WireGuard è più comodo — la configurazione è semplicemente un file di testo.

Router, Smart TV, Apple TV e console

Sui router la situazione dipende dal firmware. OpenWrt supporta WireGuard nativamente a partire dalla versione 21.02. IKEv2/IPsec è supportato anch'esso, ma la configurazione tramite strongSwan è più complessa. Dopo l'aggiornamento del firmware del router, la configurazione IPsec a volte si perde — è un problema noto, si risolve con un backup della configurazione prima dell'aggiornamento.

Le Smart TV su Android TV supportano WireGuard tramite un'app, se il produttore non ha bloccato Google Play. Apple TV — solo IKEv2 tramite le impostazioni di sistema, non esistono app WireGuard per tvOS. PlayStation e Xbox non supportano affatto i client VPN — l'unica opzione è sollevare un tunnel sul router e configurare la console tramite esso.

Il doppio NAT del provider è un'altra seccatura. Se il provider ti fornisce un IP grigio, le connessioni UDP (entrambi i protocolli, ikev2 vs wireguard — non fa differenza) possono comportarsi in modo instabile. In questi casi, o chiedi al provider di fornirti un IP bianco, o passi ai protocolli TCP.