Come installare VPN sul router Keenetic nel 2026: passo dopo passo

Se vuoi capire come installare VPN su Keenetic in modo che tutto il traffico in casa passi attraverso un tunnel — senza applicazioni separate su ogni telefono, Smart TV e PlayStation — sei nella pagina giusta. Keenetic lo consente, ma ci sono diversi metodi, e variano molto in complessità e funzionalità.

La domanda principale subito: hai bisogno solo di aggirare i siti bloccati o anche di nascondere il traffico VPN stesso dal DPI del provider? Questo determina tutto. Analizzeremo entrambi gli scenari.

Quali metodi esistono per installare VPN su Keenetic

KeeneticOS — il firmware che Keenetic sviluppa autonomamente — include già i client VPN di default. Sono disponibili tramite l'interfaccia web my.keenetic.net nelle sezioni "Altre connessioni" e "Filtri Internet". Questo è il modo più semplice, e per la maggior parte delle attività è sufficiente.

Ma c'è anche un percorso avanzato: installazione di Entware (gestore di pacchetti per router) e pacchetti aggiuntivi come XKeen o Shadowsocks. Questo è per chi ha il provider che taglia il WireGuard tramite DPI.

Client VPN integrati in KeeneticOS

KeeneticOS supporta WireGuard, OpenVPN, IKEv2/IPsec, SSTP, L2TP/IPsec e PPTP. PPTP — dimenticalo, non è sicuro e non cripta effettivamente i dati. Gli altri funzionano normalmente, ma la scelta dipende dall'attività e dal modello del router.

I componenti si installano nella sezione "Impostazioni generali" → "Modifica set di componenti". Se WireGuard non è presente — la versione del firmware è vecchia, è necessario aggiornarsi ad almeno KeeneticOS 3.7.

Componente «Proxy Cloudflare DNS over HTTPS» e bypass DPI

Non è una VPN, ma a volte aiuta con alcune blocchi. DoH cripta le richieste DNS, quindi il provider non vede a quali domini ti stai rivolgendo. Ma l'indirizzo IP di destinazione è comunque visibile. Per YouTube, che viene rallentato a livello IP, non è una soluzione.

Installazione tramite Entware e pacchetti di terze parti

Entware è un repository di pacchetti che può essere installato su una chiavetta USB collegata al router. Attraverso di esso si installano XKeen (un wrapper su XRay con supporto VLESS/XTLS), Shadowsocks-libev, AmneziaWG e altri strumenti. È potente, ma richiede una comprensione di base dei comandi Linux e tempo per la configurazione.

Quando basta il client integrato e quando è necessario Entware

Il WireGuard integrato funziona se il tuo provider blocca semplicemente i siti per IP o dominio — questo è il caso nella maggior parte dei casi nel 2026. Se il provider filtra attivamente il traffico tramite DPI e blocca il protocollo WireGuard stesso (questo si verifica con alcuni ISP regionali) — è necessario AmneziaWG o XKeen/VLESS. Se non sei sicuro — inizia con il WireGuard integrato e vedi se funziona.

Configurazione di WireGuard su Keenetic passo dopo passo

WireGuard è la scelta migliore per la maggior parte delle reti domestiche. Veloce, economico in termini di CPU e si configura in 10 minuti. Ecco come installare una VPN su Keenetic proprio tramite WireGuard.

Passo 1. Installazione del componente WireGuard in KeeneticOS

Accedi a my.keenetic.net → «Impostazioni generali» → «Modifica set di componenti». Trova «Client VPN WireGuard» nella sezione «Rete» e seleziona la casella. Il router scaricherà il componente e si riavvierà. Ciò richiede circa 2–3 minuti.

Se il componente non è nell'elenco — aggiorna prima il firmware tramite «Impostazioni generali» → «Aggiornamento KeeneticOS». Senza il componente WireGuard non ha senso andare avanti.

Passo 2. Importazione della configurazione (file .conf o inserimento manuale delle chiavi)

Vai su «Altre connessioni» → «Connessioni VPN» → pulsante «Aggiungi». Seleziona «WireGuard». Qui ci sono due opzioni: importare un file .conf pronto (più semplice) o inserire i parametri manualmente.

Il file .conf pronto viene fornito dal provider VPN — NvoVPN, Mullvad, ProtonVPN e altri lo forniscono nel proprio pannello. Il file appare così:

Fai clic su «Importa configurazione», carica il file — tutti i campi si riempiranno automaticamente. Durante l'inserimento manuale, compila ogni campo separatamente: PrivateKey, PublicKey, Endpoint (indirizzo del server e porta separati da due punti), AllowedIPs.

Passo 3. Configurazione della tabella di routing e priorità della connessione

Dopo aver creato la connessione, trova l'interruttore «Usa per uscire su Internet» — attivalo. Senza questo, la VPN si avvierà, ma il traffico non passerà attraverso di essa. Il router penserà che sia un tunnel aggiuntivo, non il percorso principale.

Nella sezione «Priorità delle connessioni» assicurati che WireGuard sia sopra la connessione WAN principale. Altrimenti, dopo un riavvio, il router potrebbe tornare a connettersi direttamente.

Se hai bisogno di routing selettivo (alcuni siti tramite VPN, altri direttamente) — disattiva «Usa per uscire su Internet» e configura le politiche di accesso per i dispositivi o domini necessari tramite la sezione «Politiche di accesso a Internet».

Passo 4. Verifica della connessione e delle perdite DNS

Accedi a ipleak.net o dnsleaktest.com da qualsiasi dispositivo nella rete. Dovrebbe apparire l'IP del server VPN, non il tuo reale. I server DNS dovrebbero anche essere forniti dal provider VPN, non dal tuo ISP. Se vedi il tuo reale IP nei DNS — nella configurazione è presente un DNS errato o non è affatto specificato.

Configurazione di OpenVPN e IKEv2 su Keenetic

OpenVPN e IKEv2 sono alternative a WireGuard, ognuna con i propri pro e contro. Ha senso scegliere tra di loro solo se WireGuard non è adatto per qualche motivo.

Importazione del file .ovpn tramite la sezione OpenVPN

Il principio è lo stesso: «Altre connessioni» → «Connessioni VPN» → «Aggiungi» → «OpenVPN». Carica il file .ovpn fornito dal provider. Nel file sono incorporati certificati, chiavi e impostazioni — non è necessario inserire quasi nulla manualmente.

Il problema è un altro: OpenVPN è pesante per il processore del router. Su Keenetic Giga o Ultra non si nota. Su Keenetic Lite o Start la velocità scenderà a 20–40 Mbit/s anche con una connessione di 100+ Mbit — il processore semplicemente non riesce a gestire la crittografia. Non è un bug, è un limite fisico.

Configurazione di IKEv2/IPsec per una connessione stabile

IKEv2 viene aggiunto tramite lo stesso interfaccia. Devi specificare l'indirizzo del server, l'identificatore, il nome utente e la password o il certificato — dipende da ciò che fornisce il provider. IKEv2 può riconnettersi quando cambia la rete (da Wi-Fi a internet mobile e viceversa) senza interrompere la sessione. Per i dispositivi mobili è comodo, ma la configurazione è un po' più complessa rispetto a WireGuard.

Quando scegliere OpenVPN e quando IKEv2 o WireGuard

WireGuard è quasi sempre la prima scelta. Più veloce, più leggero, più semplice. OpenVPN — se il provider VPN non supporta WireGuard, o se è necessaria la massima compatibilità con hardware obsoleto. IKEv2 — se il carico principale proviene da dispositivi mobili e la stabilità durante il passaggio tra reti è importante.

Errori tipici nei log e come leggerli

Guarda i log in «Diagnostica» → «Registro di sistema». Filtra per parole chiave: «WireGuard», «OpenVPN», «IPsec». Errori comuni: «handshake timeout» su WireGuard — PublicKey errato o Endpoint non disponibile; «TLS Error» su OpenVPN — certificato scaduto o CA errato; «No proposal chosen» su IKEv2 — discrepanza negli algoritmi di crittografia tra client e server.

Bypass DPI e blocchi di YouTube, Instagram, Telegram su Keenetic

Questa è la sezione più importante per chi vive in Russia. Il WireGuard standard bypassa i blocchi dei siti — YouTube, Instagram, Twitter/X, Telegram, TikTok si aprono normalmente. Ma Roskomnadzor e i provider nel 2026 sanno come bloccare non solo i siti, ma anche i protocolli VPN stessi tramite DPI (Deep Packet Inspection). Se il provider vede il pattern WireGuard nel traffico — lo taglia.

Perché il WireGuard normale non bypassa sempre il DPI del provider

WireGuard ha una firma caratteristica — un formato specifico dei pacchetti handshake su UDP. I moderni sistemi DPI lo riconoscono e bloccano la connessione prima ancora che il tunnel si alzi. Se vedi che WireGuard sta tentando costantemente di connettersi, ma non riesce, mentre il ping al server passa — probabilmente è proprio il DPI.

Controllare è semplice: prova a connetterti tramite internet mobile di un altro operatore. Se funziona lì, ma a casa no — il tuo provider domestico filtra il protocollo.

Installazione di XKeen (XRay/VLESS) tramite Entware su chiavetta USB

XKeen è un pacchetto per Keenetic che installa XRay con supporto VLESS+XTLS-Reality. Il traffico VLESS è praticamente indistinguibile da un normale HTTPS — il DPI non lo vede. Ma per l'installazione è necessaria una chiavetta USB (minimo 1 GB, formattata in ext4) e un router con porta USB.

Procedura: collegare la chiavetta USB → in KeeneticOS nella sezione «Gestione» → «Dispositivi USB» assicurarsi che sia stata riconosciuta → installare il componente «OPKG Gestore pacchetti» → tramite SSH o terminale web avviare l'installazione di Entware con il comandoopkg install entware. Dopo di che tramiteopkg install xkeen si installa XKeen.

Se la chiavetta non viene riconosciuta, probabilmente è formattata in NTFS o FAT32. KeeneticOS per Entware richiede ext2/ext3/ext4. Formattare tramite GParted o in Linux con il comandomkfs.ext4 /dev/sdX.

Shadowsocks e Amnezia WG (AmneziaWG) come protezione contro il blocco del protocollo

AmneziaWG è un fork di WireGuard con aggiunta di offuscamento. Il traffico è mascherato come rumore casuale, DPI non lo riconosce come WireGuard. Nel 2026 è supportato da diversi servizi VPN, ed è il modo più semplice per aggirare il blocco del protocollo: la configurazione è quasi la stessa di WireGuard normale, solo il file di configurazione è diverso.

Shadowsocks è uno strumento collaudato, particolarmente popolare per aggirare il firewall cinese. Funziona in modo stabile, ma richiede l'installazione tramite Entware. La velocità è generalmente inferiore a quella di WireGuard, ma superiore a quella di OpenVPN.

Routing selettivo: far passare solo i siti necessari tramite VPN

Quando la VPN è attivata per tutto il traffico, le banche russe e i servizi pubblici a volte rifiutano di funzionare: possono bloccare gli indirizzi IP dall'estero. La soluzione è il routing selettivo.

In KeeneticOS questo è chiamato «Politiche di accesso a Internet». È possibile creare una politica «Attraverso VPN» e assegnarla a dispositivi specifici (Smart TV, telefono) o configurare il routing per domini tramite XKeen, dove le liste dei siti sono definite nel file di configurazione di XRay. Le risorse russe (Sberbank, Servizi pubblici, VKontakte) vengono raggiunte direttamente, quelle bloccate (YouTube, Instagram, Telegram) tramite tunnel.

Verifica del funzionamento della VPN e risoluzione dei problemi

Dopo aver capito come installare la VPN su Keenetic e aver completato la configurazione, è necessario assicurarsi che tutto funzioni correttamente e non semplicemente «connesso».

Come verificare che tutto il traffico passi attraverso la VPN (test di perdite IP e DNS)

Il modo più affidabile è accedere a ipleak.net con il telefono o il computer nella tua rete. Il servizio mostrerà l'indirizzo IP, la geolocalizzazione e i server DNS. L'immagine corretta: l'IP appartiene al server VPN, i server DNS sono anch'essi del provider VPN, non del tuo ISP.

Il secondo strumento è dnsleaktest.com, Test Esteso. Effettua diverse richieste DNS e mostra attraverso quali server sono passate. Se vedi i server del tuo provider, hai una perdita DNS. Si risolve impostando manualmente i DNS nel file di configurazione di WireGuard o nelle impostazioni DHCP del router.

Test di velocità prima e dopo la connessione VPN

Metodologia: eseguire un test su fast.com o speedtest.net senza VPN, annotare il risultato. Poi collegare la VPN e ripetere. La differenza di velocità dipende dal modello del router e dal protocollo. Non basarti su numeri di altri: sono stati misurati su hardware diverso e su un altro canale. Solo i tuoi test daranno un'immagine reale.

Se la velocità è diminuita drasticamente, prima controlla se è stato selezionato OpenVPN su un router economico. Prova un altro server del provider VPN, preferibilmente uno geograficamente più vicino.

Cosa fare se la VPN si connette, ma non c'è internet

Questo è il problema più comune. Lista di controllo in ordine:

• L'interruttore «Usa per l'accesso a Internet» è attivato nelle impostazioni della connessione VPN?
• Nel file di configurazione AllowedIPs è impostato0.0.0.0/0, e non una sottorete specifica?
• Il DNS è impostato nel file di configurazione: il campo DNS non è vuoto?
• Non c'è conflitto con il doppio NAT: il router non è dietro il router del provider?
• La priorità della connessione VPN è superiore a quella del WAN principale nella sezione delle priorità?

Il doppio NAT è una storia a parte. Se il tuo router è collegato al router del provider (e non direttamente alla linea), a volte non è possibile attivare WireGuard a causa del blocco delle porte UDP. La soluzione è chiedere al provider di fornire un IP esterno o di mettere la porta del router in DMZ sul dispositivo del provider.

Perché la velocità diminuisce e come aumentarla

Sui Keenetic economici (Lite, Start) il collo di bottiglia è il processore MIPS senza accelerazione hardware per la crittografia. OpenVPN lo carica fino al 100% a velocità superiori a 50 Mbit/s. WireGuard è più efficiente: con lo stesso hardware gestisce 2-3 volte più traffico. AmneziaWG è leggermente più lento del WireGuard normale a causa dell'offuscamento, ma la differenza è piccola.

Se la velocità è comunque bassa, attiva il routing selettivo. Lascia che solo i servizi bloccati passino attraverso la VPN, mentre il resto del traffico va direttamente. Il carico sul processore diminuirà proporzionalmente al volume di traffico che passa realmente attraverso il tunnel.