Notizie
13 min di lettura

IKEv2/IPsec: configurazione e connessione VPN nel 2026

IKEv2/IPsec: configurazione e connessione VPN nel 2026 Se hai bisogno di IKEv2: configurazione e connessione — questa guida è per te. Non ci sono informazioni superflue su "cos'è una VPN" — solo passi concreti per ogni piattaforma, analisi degli errori e una conversazione onesta su perché IKEv2 a vo

IKEv2/IPsec: configurazione e connessione VPN nel 2026

Se hai bisogno di IKEv2: configurazione e connessione — questa guida è per te. Non ci sono informazioni superflue su "cos'è una VPN" — solo passi concreti per ogni piattaforma, analisi degli errori e una conversazione onesta su perché IKEv2 a volte non funziona con i provider russi.

Cos'è IKEv2/IPsec e a chi si adatta

IKEv2 in parole semplici

IKEv2 (Internet Key Exchange version 2) — protocollo per la negoziazione di una connessione sicura. Di per sé non cripta il traffico, ma negozia chiavi e parametri. Tutta la crittografia è gestita da IPsec — da qui la combinazione IKEv2/IPsec che vedi nelle impostazioni.

È stato sviluppato da Microsoft e Cisco, standardizzato in RFC 7296. È integrato in Windows, macOS, iOS e Android — senza applicazioni di terze parti. Per una configurazione di base, questo è sufficiente.

Combinazione IKEv2 e IPsec: a cosa serve

IKEv2 si occupa del "handshake" — autenticazione e generazione di chiavi. IPsec prende queste chiavi e cripta il traffico reale tramite la modalità ESP (Encapsulating Security Payload). Senza IPsec, IKEv2 è solo un protocollo di controllo senza protezione dei dati. Senza IKEv2, IPsec non sa come negoziare i parametri.

Punti di forza: velocità, MOBIKE e cambio di reti

La cosa principale per cui amano IKEv2 è MOBIKE (RFC 4555). Il protocollo supporta il ripristino istantaneo della connessione quando si passa tra Wi-Fi e rete mobile, senza interruzione della sessione. Se passi dal router di casa al 4G — la VPN non cade. Questo è critico per gli smartphone.

In termini di velocità, IKEv2/IPsec con crittografia AES-256-GCM funziona rapidamente — le spese generali sono minime. Su un dispositivo moderno con AES hardware, quasi non noterai la differenza con una connessione non protetta.

Quando IKEv2 non è la scelta migliore

Onestamente: in condizioni di blocchi russi, IKEv2 spesso perde. Il protocollo funziona esclusivamente su UDP — porte 500 e 4500. I sistemi DPI (Deep Packet Inspection) possono riconoscerlo dalla firma dei pacchetti e interrompere la connessione. Non c'è offuscamento in IKEv2.

Se il tuo provider utilizza attivamente l'ispezione profonda del traffico, guarda verso WireGuard con mascheramento, Amnezia WG o VLESS/XRay. Il confronto tra protocolli è un argomento a parte, ma IKEv2 non vince sempre lì.

Configurazione di IKEv2 su Android, iPhone, Windows e Mac

Cosa preparare in anticipo: indirizzo del server, login, certificato

Prima di iniziare, dovresti avere a disposizione:

  • Indirizzo del server — IP o dominio (ad esempio,vpn.example.com)
  • Remote ID — identificatore del server, spesso coincide con l'indirizzo, ma non sempre
  • Login e password — se viene utilizzata l'autenticazione EAP
  • Certificato CA — se il server lavora con certificati (file con estensione .cer, .crt o .pem)
  • Facoltativo: file di profilo.mobileconfig per iOS/macOS

La differenza tra EAP e certificato è fondamentale. EAP è semplicemente login/password, che vengono verificati dal server. Il certificato è una chiave crittografica, che è fisicamente memorizzata sul dispositivo. Il certificato è più sicuro: anche se qualcuno intercetta il traffico, senza la tua chiave non può decifrare la sessione. Ma deve essere installato nel keystore di sistema — un po' più complicato.

Configurazione di IKEv2 su iPhone e iPad (client integrato)

  1. ApriImpostazioni → Generali → VPN e gestione dispositivo → VPN → Aggiungi configurazione VPN
  2. Tipo di protocollo:IKEv2
  3. Descrizione: qualsiasi nome
  4. Server: indirizzo IP o dominio
  5. ID remoto: di solito coincide con l'indirizzo del server — verifica con il provider
  6. ID locale: lascia vuoto o inserisci la tua email (se richiesto dal server)
  7. Autenticazione: selezionaNome utente (per EAP) oCertificato
  8. Inserisci login e password →Fatto

Se il campo ID remoto è compilato in modo errato — la connessione si stabilirà, ma il traffico non passerà. Questo è uno degli errori più comuni. Esternamente appare come "connesso, ma non c'è internet".

Configurazione IKEv2 su Android (strongSwan)

Il client VPN integrato di Android per IKEv2 funziona in modo instabile su alcune versioni del firmware. Consiglio strongSwan — un'applicazione open source, disponibile su Google Play e F-Droid.

  1. InstallastrongSwan VPN Client
  2. CliccaAggiungi profilo VPN
  3. Server: indirizzo del tuo server
  4. Tipo VPN:IKEv2 EAP (Nome utente/Password) oIKEv2 Certificato
  5. Nome utente / Password: inserisci i dati
  6. Certificato CA: seleziona il file oSeleziona automaticamente
  7. CliccaSalva, poi tocca il profilo per connetterti

Se il server utilizza un certificato autofirmato, Android restituirà un errore CA. È necessario scaricare il file .crt, installarlo tramiteImpostazioni → Sicurezza → Installare certificato, e poi selezionarlo manualmente in strongSwan. Salta questo passaggio — e l'applicazione semplicemente non si connetterà.

Configurazione IKEv2 su Windows 11 e 10

  1. Impostazioni → Rete e Internet → VPN → Aggiungi connessione VPN
  2. Fornitore VPN:Windows (integrato)
  3. Tipo VPN:IKEv2
  4. Nome o indirizzo del server: incolla l'indirizzo
  5. Tipo di dati di accesso:Nome utente e password
  6. Inserisci login/password →Salva

Nota: Windows offre per impostazione predefinita una crittografia debole (3DES). Se il server è configurato solo per AES-256, la connessione fallirà con l'errore "Le impostazioni di sicurezza non sono compatibili". Si risolve tramite il registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters

Dopo aver modificato il registro, è obbligatorio riavviare.

Configurazione IKEv2 su macOS

  1. Preferenze di sistema → Rete → fai clic su "+"
  2. Interfaccia:VPN, Tipo:IKEv2
  3. Indirizzo del server e Remote ID: compila
  4. Fai clic suImpostazioni di autenticazione: seleziona nome utente/password o certificato
  5. Connettiti

Importa .mobileconfig e certificati

File.mobileconfig — è un profilo di configurazione Apple che contiene tutte le impostazioni IKEv2 in una volta: indirizzo del server, Remote ID, parametri di autenticazione e certificato CA. Inviarlo su iPhone tramite AirDrop o email, aprirlo, confermare l'installazione nelle impostazioni — e tutto è pronto senza immissione manuale dei dati.

Per macOS il processo è analogo. Doppio clic su .mobileconfig → installa il profilo nelle preferenze di sistema. È più veloce e affidabile rispetto a compilare i campi manualmente.

Perché IKEv2 non si connette: errori tipici e DPI

Errore di autenticazione del server o del certificato

“Il certificato del server non è valido” o “Authentication failed” — sono gli errori più comuni al primo collegamento. Ci sono diverse ragioni.

Primo: Remote ID errato. Il server si identifica tramite un nome specifico (CN nel certificato), e se nelle impostazioni del client è indicato un altro indirizzo — l'autenticazione fallirà. Chiedi al provider il Remote ID esatto — a volte è un dominio, a volte un IP, a volte qualcosa come@vpn.example.com.

Secondo: certificato CA non installato. Se il server utilizza un certificato autofirmato, il sistema non sa a chi fidarsi. È necessario aggiungere manualmente il certificato radice ai certificati attendibili.

La connessione si blocca su "Connessione..."

L'indicatore gira, VPN non si connette — è la classica situazione di porte UDP bloccate. IKEv2 inizia a lavorare con UDP 500 (IKE_SA_INIT), poi passa a UDP 4500 in caso di NAT (NAT-T). Se almeno una di queste porte è bloccata dal provider — la connessione non si stabilirà.

Un modo veloce per verificare: disconnettiti dal Wi-Fi e prova a connetterti tramite internet mobile. Se funziona su 4G, ma a casa no — il provider sta bloccando le porte.

Il provider blocca UDP 500/4500 tramite DPI

I provider russi con attrezzature TSPU (mezzi tecnici per contrastare le minacce) possono bloccare IKEv2 non solo per porte, ma anche per firma dei pacchetti. L'handshake IKEv2 ha una struttura caratteristica che il DPI riconosce senza problemi.

Risultato: la connessione non si stabilisce affatto, oppure funziona per alcuni minuti e si interrompe. Il secondo scenario è particolarmente sgradevole — sembra che tutto sia configurato correttamente, ma la VPN è instabile. Se ti trovi in questa situazione, IKEv2 non aiuterà. È necessaria l'offuscamento.

Roskomnadzor e rallentamento: quando IKEv2 smette di funzionare

Il TSPU non lavora sempre con la stessa intensità. Durante le ore di punta — la sera dalle 19:00 alle 23:00 — la filtrazione può intensificarsi. Se IKEv2 è instabile proprio in quel momento, mentre di notte funziona normalmente — è un chiaro segno che l'attrezzatura del provider interferisce con il protocollo.

Al alcuni servizi, come NvoVPN, offrono diversi protocolli in un'unica applicazione. Se IKEv2 cade — si passa a WireGuard con mascheramento o Shadowsocks senza cambiare abbonamento e impostazioni. È più comodo che configurare tutto da zero.

Interruzioni durante il passaggio tra Wi-Fi e rete mobile

Teoricamente, MOBIKE dovrebbe risolvere questo problema. Nella pratica — se il provider utilizza doppio NAT (e questo è comune in Russia con la connessione tramite CGNAT), NAT-T sulla porta 4500 può rompersi durante il cambio di rete.

Se la connessione si interrompe proprio durante il cambio di reti — prova a cambiare server. A volte è una questione di configurazione di un nodo VPN specifico, e non del protocollo nel suo insieme.

IKEv2 per bypassare i blocchi di YouTube, Instagram e Telegram

IKEv2 funziona per accedere a YouTube senza rallentamenti

Se il provider non blocca IKEv2 stesso — sì, funziona. Il traffico passa attraverso un server VPN al di fuori della RF, e il rallentamento di YouTube, organizzato dal TSPU a livello AS (sistema autonomo) di Google, viene aggirato.

Ma questo è un "se". Nelle regioni con filtraggio attivo, IKEv2 viene rilevato e bloccato rapidamente. Per aggirare stabilmente il rallentamento di YouTube nel 2026, i protocolli offuscati sono più affidabili — WireGuard tramite Amnezia o VLESS/XRay.

Instagram, Facebook e Twitter/X tramite IKEv2

Instagram e Facebook sono bloccati nel territorio della RF per decisione del tribunale. IKEv2, quando funziona, li sblocca senza problemi — il traffico esce attraverso un server estero. Anche Twitter/X — analogamente.

Il problema è lo stesso: se il provider taglia IKEv2, l'accesso scompare. E a differenza del rallentamento di YouTube (dove la connessione c'è, ma rallenta), qui la connessione semplicemente cade.

Telegram e WhatsApp: sfumature delle chiamate vocali

I messaggi di testo tramite IKEv2 funzionano normalmente. Le chiamate vocali e video — sono più complicate. WhatsApp e Telegram utilizzano UDP per i flussi multimediali, e con alcune configurazioni IKEv2 + filtraggio UDP a livello del provider, le chiamate o non passano, o la qualità scende a zero.

Se le chiamate vocali tramite VPN sono critiche — testatele prima di un uso costante.

TikTok e restrizioni regionali

TikTok in RF non è ancora bloccato a livello di Roskomnadzor, ma il contenuto regionale è diverso da quello estero. IKEv2 con un server nel paese desiderato consente di ottenere un'altra versione del contenuto. Tecnicamente funziona allo stesso modo di qualsiasi altro servizio — il traffico passa attraverso un IP estero.

Quando è opportuno scegliere un altro protocollo invece di IKEv2

Il quadro onesto appare così:

  • IKEv2 — ottima scelta dove il provider non ostacola il protocollo: reti aziendali, paesi con blocchi leggeri, situazioni dove la mobilità è importante MOBIKE
  • WireGuard + offuscamento (Amnezia WG) — la migliore opzione per aggirare il TSPU mantenendo la velocità
  • VLESS/XRay — il più resistente al DPI, si maschera come HTTPS
  • Shadowsocks — offuscamento collaudato, funziona dove gli altri non riescono
  • OpenVPN tramite TCP/443 — più lento, ma si maschera come traffico HTTPS

IKEv2: configurazione e connessione hanno senso quando le condizioni lo permettono. Quando il DPI è attivo — cambiate senza rimpianti.

IKEv2 su router, Smart TV e Apple TV

Configurazione di IKEv2 su router (Keenetic, MikroTik, OpenWrt)

Keenetic supporta IKEv2/IPsec nell'interfaccia standard tramiteInternet → Altre connessioni → VPN → IKEv2. Compilate l'indirizzo del server, Remote ID, dati di autenticazione — e la VPN funziona per tutta la rete.

MikroTik consente di configurare IKEv2 tramite WinBox o CLI. È uno strumento potente, ma la configurazione è più complessa: è necessario configurare IKE Proposal, IPsec Policy e Peer separatamente. Per i principianti — non è il miglior inizio.

OpenWrt con il pacchetto strongSwan — opzione massimamente flessibile. Configurazione tramite file/etc/ipsec.conf e/etc/ipsec.secrets. Adatto se capite cosa state facendo.

Perché Smart TV e Apple TV non supportano IKEv2 direttamente

Samsung Smart TV, LG webOS, Apple TV e la maggior parte delle console di gioco non hanno un client VPN integrato. Android TV è un'eccezione, lì si può installare strongSwan. Ma tvOS, Tizen e webOS sono sistemi chiusi senza possibilità di installare software di terze parti per VPN.

VPN su router come soluzione per televisori e console

Configurando IKEv2 sul router, si instrada automaticamente tutto il traffico dei dispositivi connessi — televisore, PlayStation, Xbox, Apple TV. I dispositivi non hanno bisogno di un proprio client VPN.

È comodo, ma c'è una sfumatura: il router cripta tutto il traffico con il proprio processore. Una CPU debole — AES senza accelerazione hardware — può causare un notevole calo di velocità. Su Keenetic Giga o Ultra con AES hardware, le perdite saranno minime. Su router economici — potrebbe esserci un serio rallentamento.

Controllo della velocità dopo la configurazione

Controlla la velocità tramite Speedtest.net o fast.com prima di attivare la VPN e dopo. Se il calo è superiore al 20–30% collegandoti al server più vicino, il problema è nel router (CPU debole) o nella configurazione MTU.

Il conflitto MTU è un'altra storia. IKEv2/IPsec aggiunge sovraccarichi agli header dei pacchetti, e il MTU standard di 1500 può causare frammentazione e calo della velocità. Prova a impostare MTU 1400 sull'interfaccia VPN del router: spesso aiuta.

Cosa distingue IKEv2 da WireGuard e OpenVPN?

IKEv2 è veloce, integrato in iOS/macOS/Windows senza app aggiuntive e mantiene bene la connessione durante il cambio di rete tramite MOBIKE. Ma funziona solo su UDP ed è facilmente rilevabile da DPI: non c'è offuscamento. WireGuard è più moderno e veloce, ma anch'esso senza mascheramento nella sua forma base; con Amnezia diventa resistente ai blocchi. OpenVPN su TCP/443 si maschera come HTTPS e supera molti filtri, ma è più lento. Per blocchi severi in RF tramite TSPU, è meglio Amnezia WG, VLESS/XRay o Shadowsocks.

Perché IKEv2 si connette, ma si disconnette dopo un minuto?

Spesso la colpa è del DPI del provider: il sistema consente l'inizio della connessione, ma dopo un po' identifica la firma di IKEv2 e interrompe la sessione. Altre cause: UDP instabile, conflitto MTU (prova a impostare 1400), problemi con i pacchetti keep-alive o doppio NAT del provider che rompe NAT-T sulla porta 4500. Prova un altro server: a volte aiuta. Se nulla funziona, passa a un protocollo offuscato.

Quali porte utilizza IKEv2 e come verificare se il provider le blocca?

IKEv2 utilizza UDP 500 per la negoziazione iniziale e UDP 4500 per NAT-T (traffico attraverso NAT). Entrambe le porte devono essere aperte. Controllo veloce: disattiva il Wi-Fi, connettiti tramite internet mobile (un altro provider) e prova a connetterti alla VPN. Se funziona su mobile ma non su Wi-Fi domestico, il provider domestico blocca le porte o interrompe il traffico tramite DPI.

IKEv2 è adatto per bypassare il rallentamento di YouTube in Russia?

Può aiutare, se il provider non blocca il protocollo stesso. Quando IKEv2 funziona, il traffico di YouTube passa attraverso un server estero e il rallentamento di TSPU viene aggirato. Ma IKEv2 è facilmente rilevabile da DPI, quindi durante le ore di punta o nelle regioni con filtraggio attivo la connessione può interrompersi. Per risultati stabili, WireGuard offuscato (Amnezia) o VLESS/XRay sono più affidabili.

È necessario un certificato per connettersi a IKEv2 o bastano nome utente e password?

Dipende dalla configurazione del server. La maggior parte dei servizi VPN commerciali utilizza EAP: nome utente e password, nessun file. I server aziendali e quelli auto-gestiti richiedono spesso un certificato: è necessario scaricare il certificato CA e installarlo nel keystore di sistema. Il certificato è più sicuro, ma un po' più complicato da configurare. Per iOS, l'opzione più comoda è un profilo .mobileconfig pronto all'uso, che contiene tutto.

È possibile configurare IKEv2 su Smart TV o Apple TV?

Direttamente, quasi da nessuna parte. tvOS, Tizen (Samsung) e webOS (LG) non supportano l'installazione di client VPN. L'eccezione è Android TV, dove è possibile installare strongSwan. Una soluzione universale è configurare IKEv2 sul router: in questo modo tutto il traffico della TV e delle console passerà automaticamente attraverso la VPN. Tieni presente che un router debole senza AES hardware perde notevolmente in velocità durante la crittografia.

Articoli correlati

Potrebbero interessarti anche