Kill Switch in VPN: configurazione e risoluzione dei problemi 2026

Se utilizzi una VPN per bypassare i blocchi di YouTube, Instagram o Telegram, probabilmente ti sei già trovato nella situazione: la connessione è scomparsa per un secondo — e il sito è di nuovo non disponibile. È proprio per questi casi che esistekill switch. Questo articolo riguarda la configurazione del kill switch VPN: risoluzione di problemi specifici su Windows, Android, iPhone e router, comprese le situazioni in cui, dopo l'attivazione, scompare tutta la connessione a Internet.

Che cos'è il kill switch e a cosa serve in caso di blocchi

Il kill switch è un meccanismo che blocca completamente il traffico Internet se il tunnel VPN si interrompe inaspettatamente. Senza di esso, il tuo browser, i messaggeri e altre applicazioni iniziano immediatamente a funzionare tramite la normale connessione del provider — con l'IP reale e senza bypassare i blocchi.

In parole semplici: cosa fa il kill switch

Immagina che la VPN sia un tubo tra te e Internet. Il kill switch è una valvola di emergenza. Se il tubo si rompe, la valvola chiude il flusso finché il tubo non viene riparato. Non passa nulla — né dati, né traffico, né richieste.

Nella pratica: stai guardando YouTube tramite VPN. Il tunnel cade per 3 secondi a causa di un Wi-Fi instabile. Senza il kill switch, in quei 3 secondi YouTube riceve una richiesta con il tuo IP reale. Con il kill switch — la pagina semplicemente smette di caricarsi fino al ripristino della connessione.

Perché senza di esso l'IP reale perde il provider e Roskomnadzor

Quando il tunnel si interrompe, il sistema operativo utilizza automaticamente il percorso predefinito — cioè si connette a Internet direttamente tramite il provider. Il provider vede immediatamente il tuo traffico e applica DPI (Deep Packet Inspection). Roskomnadzor mantiene un registro dei blocchi, secondo il quale i sistemi DPI filtrano le richieste in tempo reale.

Risultato: Instagram è di nuovo bloccato, YouTube inizia a bufferizzare o non si apre, Telegram si disconnette. E tutto questo — letteralmente in pochi secondi dopo l'interruzione del tunnel.

Quando la VPN si interrompe: Wi-Fi instabile, cambio di reti, reset DPI

Il tunnel cade più spesso di quanto sembri. Passare tra Wi-Fi e rete mobile sul telefono — interruzione immediata. Il sonno del laptop e il risveglio — la stessa cosa. Interruzioni nel router domestico — 1-2 secondi senza tunnel.

Una storia a parte — i reset DPI. Alcuni provider russi bloccano attivamente il traffico VPN, inviando pacchetti TCP RST per interrompere le connessioni. In questo caso, il tunnel può rompersi ogni pochi minuti, e il kill switch disattiverà onestamente Internet ad ogni reset. Questo non è un bug del kill switch — è un bug del provider. La soluzione — passare a protocolli mascherati, di questo parleremo più avanti.

Kill switch di sistema contro il blocco a livello di applicazione

Il kill switch di sistema blocca tutto il traffico a livello di firewall o stack di rete. Se il tunnel cade — nessuna applicazione può accedere alla rete. Questa è la massima protezione.

Il kill switch a livello di app funziona solo per applicazioni selezionate — ad esempio, il browser e Telegram. Le altre continuano a funzionare tramite la rete normale. Questo è comodo, ma lascia delle falle: aggiornamenti di Windows, servizi in background, altri messaggeri — tutto questo passerà con l'IP reale.

Per bypassare i blocchi, nella maggior parte dei casi è necessario proprio il kill switch di sistema. Quello a livello di app — solo se sai esattamente quali applicazioni stai proteggendo.

Configurazione del kill switch su diversi dispositivi

I passaggi specifici dipendono dalla piattaforma. La configurazione del kill switch VPN: la soluzione per ciascuna di esse è diversa — in alcuni casi è solo una spunta, in altri sono necessarie regole manuali del firewall.

Windows: configurazione tramite client VPN e tramite firewall

La maggior parte dei client VPN per Windows ha un kill switch integrato. Nelle impostazioni cerca "Network Lock", "Kill Switch", "Blocco del traffico" o "Blocco Internet". Attivalo — il client aggiunge automaticamente le regole nel Windows Defender Firewall.

Se il client non supporta il kill switch, puoi farlo manualmente. Apri Windows Defender Firewall con sicurezza avanzata (wf.msc), crea una regola di traffico in uscita di tipo "Block" per tutti i programmi, quindi aggiungi una regola di autorizzazione solo per l'interfaccia TAP (OpenVPN) o l'adattatore WireGuard. L'ordine delle regole è importante: la regola di autorizzazione deve essere sopra quella di blocco.

Un punto importante: antivirus come Kaspersky Internet Security o ESET a volte confliggono con tali regole. Se il kill switch non funziona o blocca tutto — disattiva temporaneamente il firewall di terze parti e controlla il comportamento.

Android: opzione "VPN sempre attiva" e "Blocca senza VPN"

Su Android, il kill switch integrato è implementato tramite le impostazioni di sistema. Percorso: Impostazioni → Rete e Internet → VPN → fai clic sull'ingranaggio accanto alla connessione VPN desiderata → attiva "VPN sempre attiva" e "Blocca connessioni senza VPN".

Questo è un kill switch di sistema a livello del kernel di Android — funziona indipendentemente dal client che utilizzi. Ma c'è un dettaglio: la funzione funziona solo con i profili VPN aggiunti tramite l'interfaccia di sistema o tramite un'app che utilizza l'API VpnService. Alcune app VPN utilizzano una propria implementazione e possono confliggere con l'opzione di sistema.

Quando si passa da Wi-Fi a LTE, anche con "VPN sempre attiva" attivata, può esserci un ritardo di 1-3 secondi mentre il sistema riconnette il tunnel. Durante questo tempo può passare parte del traffico. La soluzione — protocolli con riconnessione rapida, WireGuard è il migliore in questo.

iPhone e iPad: limitazioni di iOS e bypass tramite profilo/On-Demand

Onestamente: su iOS non esiste un vero kill switch nei normali client VPN dell'App Store. Apple non consente alle app di avere tale livello di accesso allo stack di rete.

Ci sono due modi per aggirarlo. Il primo — Always-On VPN tramite profilo MDM. Questa è una soluzione aziendale: l'amministratore crea un profilo MDM che vieta qualsiasi traffico senza un tunnel VPN attivo. È adatto per le organizzazioni, ma non per l'utente normale — è necessario avere accesso all'infrastruttura MDM. Se sul tuo iPhone è già installato un profilo MDM aziendale o genitoriale, potrebbe bloccare l'installazione di Always-On da un altro provider.

Il secondo modo — modalità On-Demand nella configurazione di WireGuard o IKEv2. Nella configurazione puoi specificare regole: "connetti sempre la VPN a qualsiasi richiesta di rete". Questo non è un kill switch ideale, ma riduce significativamente le finestre di perdita. La configurazione deve essere importata manualmente tramite l'app WireGuard o il client ufficiale.

Mac: impostazioni di sistema e client di terze parti

Su macOS non c'è un kill switch integrato nelle impostazioni di sistema. Le opzioni funzionanti sono client di terze parti con supporto per Network Extension (Tunnelblick per OpenVPN, client ufficiale WireGuard dall'App Store di Mac) o Little Snitch per creare regole del firewall.

In Tunnelblick c'è un'opzione sperimentale di kill switch tramite le impostazioni degli script. Nei client come Mullvad o ProtonVPN per Mac, il kill switch è integrato e funziona tramite l'API Network Extension di macOS — questo è più affidabile delle soluzioni scritte a mano.

Router e Smart TV: kill switch a livello di rete intera

Sul router, il kill switch protegge immediatamente tutti i dispositivi — Smart TV, console di gioco, Apple TV, altoparlanti intelligenti — senza dover installare client su ciascuno di essi. Questa è l'unica opzione reale per i dispositivi che non hanno un client VPN adeguato.

Su OpenWrt: configurazione tramite regole del firewall o script hotplug, che blocca il percorso predefinito in caso di caduta dell'interfaccia tun/wg. Su Keenetic: le politiche di routing consentono di instradare il traffico solo attraverso l'interfaccia VPN e di bloccare tutto in sua assenza.

C'è un effetto collaterale non ovvio: il kill switch sul router può bloccare l'accesso all'interfaccia web del router stesso (192.168.1.1), se le regole sono formulate in modo troppo aggressivo. La soluzione è aggiungere un'eccezione per la sottorete LAN prima della regola di blocco.

Soluzione ai problemi comuni con il kill switch

Questa è la parte più importante. Configurazione del kill switch VPN: risoluzione dei problemi — è proprio qui che la maggior parte delle guide termina con frasi generiche. Esaminerò casi specifici.

Dopo l'attivazione, è scomparso tutto l'internet — cosa fare

Il kill switch funziona correttamente — ti dice onestamente che la VPN non è connessa. Non è un bug, è una funzionalità. Ma se la VPN dovrebbe essere connessa e non lo è — il problema è nella connessione stessa.

Checklist in ordine: verifica se il client raggiunge il server VPN (prova a disattivare temporaneamente il kill switch e controlla la connessione); cambia protocollo — se OpenVPN è bloccato dal provider, prova WireGuard o Amnezia WG; verifica se la porta è bloccata (la porta standard OpenVPN 1194/UDP è spesso bloccata, prova TCP 443); cambia server — un server specifico potrebbe non essere accessibile dalla tua rete.

Se dopo aver cambiato protocollo a WireGuard la connessione è tornata — significa che il provider bloccava il protocollo precedente tramite DPI. In questo caso, il kill switch ha funzionato correttamente.

Il kill switch non si attiva e l'IP continua a perdere

La causa più comune è che è attivato il kill switch a livello di app invece di quello di sistema. Controlla le impostazioni del client: c'è l'opzione "System-wide" o "All traffic" rispetto a "Selected apps". Passa a quello di sistema.

La seconda causa è che il kill switch è implementato a livello di client, ma in caso di crash dell'applicazione stessa, le regole del firewall non si attivano. Una soluzione più affidabile è un kill switch di sistema tramite regole OS (Windows Firewall, Android VpnService), e non tramite la logica dell'applicazione.

Conflitto con la rete locale, stampante e DLNA

Il kill switch di sistema per impostazione predefinita blocca anche il traffico nella rete locale. La stampante su 192.168.1.100 diventa inaccessibile, il server DLNA smette di vedere i file multimediali, l'interfaccia web del router non si apre.

La soluzione è standard: aggiungere un'eccezione per la sottorete LAN. Nella maggior parte dei client, questa è l'opzione "Allow LAN" o "Local network bypass". Se configuri manualmente tramite il firewall — crea una regola di autorizzazione per gli indirizzi 192.168.0.0/16 e 10.0.0.0/8 prima della regola di blocco.

Interruzioni costanti a causa di DPI e come ridurle

Se il tunnel si interrompe ogni 2-5 minuti — molto probabilmente, il provider sta attivamente rilevando e resettando il traffico VPN tramite DPI. In questo caso, il kill switch disconnette onestamente l'internet ad ogni interruzione, rendendo l'uso insopportabile.

I sistemi DPI utilizzati dai grandi provider russi sono in grado di riconoscere OpenVPN, IKEv2 e a volte WireGuard tramite i pattern di traffico — dimensioni dei pacchetti caratteristici e pattern di timing.

La soluzione sono i protocolli mascherati. Shadowsocks maschera il traffico come normale HTTPS. VLESS/XRay con XTLS-Reality appare come una richiesta a un vero sito TLS — anche l'analisi approfondita non aiuta. Amnezia WireGuard aggiunge offuscamento al WireGuard standard. Dopo il passaggio a un tale protocollo, la frequenza delle interruzioni di solito diminuisce drasticamente, e il kill switch smette di essere fastidioso.

Il kill switch ostacola l'aggiramento dei blocchi di Telegram e WhatsApp

Se Telegram o WhatsApp non funzionano con il kill switch attivato — il problema non è nel kill switch. Mostra semplicemente onestamente che la VPN non è connessa o non aggira il blocco di un servizio specifico.

Eccezione — se utilizzi lo split tunneling contemporaneamente con il kill switch. In tale configurazione, parte del traffico va intenzionalmente in bypass alla VPN. In questo caso, il kill switch dovrebbe applicarsi solo al traffico protetto, ma alcune implementazioni lo applicano a tutte le connessioni, comprese quelle tunnelizzate direttamente. Controlla le impostazioni dello split tunneling nel client — assicurati che Telegram e WhatsApp siano o nel tunnel VPN, o esplicitamente esclusi con la consapevolezza dei rischi.

Come verificare che il kill switch funzioni realmente

Non vale la pena fidarsi del client sulla parola. Ecco una procedura riproducibile per il controllo — ripetila tu stesso in 5 minuti.

Test di perdita di IP e DNS prima e dopo l'interruzione

Passo 1: connettiti alla VPN e apri ipleak.net o browserleaks.com/ip. Ricorda (o fotografa) l'indirizzo IP e i server DNS mostrati — devono appartenere al tuo provider VPN, non al provider internet reale.

Passo 2: senza chiudere la pagina, simula un'interruzione del tunnel (vedi sotto). Aggiorna la pagina. Se il kill switch funziona — la pagina non si caricherà affatto, oppure mostrerà un errore di connessione. Se si è caricata e ha mostrato il tuo vero IP — il kill switch non funziona.

Interruzione forzata del tunnel per il controllo

Su Windows: apri Task Manager → scheda "Servizi", trova il servizio del tuo client VPN o del tunnel WireGuard, fai clic su "Arresta". Oppure tramite PowerShell:Stop-Service WireGuardTunnel$nome_tunnel.

Su Android: vai su Impostazioni → Rete e internet → VPN e fai clic su "Disconnetti" accanto alla VPN attiva. Se è attivato "VPN permanente", il sistema chiederà conferma.

Sul router: scollega il cavo WAN per 5 secondi o riavvia l'interfaccia VPN tramite SSH con il comandoifdown vpn&& ifup vpn (OpenWrt).

Controllo della perdita di WebRTC nel browser

Il kill switch non protegge dalle perdite di WebRTC — questa è un'altra storia. WebRTC è una tecnologia del browser per videochiamate, che può rivelare il tuo vero IP anche con un tunnel VPN attivo.

Controllo: apri browserleaks.com/webrtc con la VPN connessa. Se nella sezione "Your IP addresses" vedi un indirizzo della tua rete locale (10.x.x.x, 192.168.x.x) — è normale. Se vedi il vero IP pubblico del provider — WebRTC sta perdendo. Soluzione: disattiva WebRTC nel browser (in Firefox tramite about:config → media.peerconnection.enabled → false) o installa l'estensione WebRTC Network Limiter per Chrome.

Cosa mostra un kill switch configurato correttamente

In caso di interruzione forzata del tunnel: il browser smette di caricare le pagine, il ping verso gli IP esterni non passa, le applicazioni perdono la connessione. Non deve caricarsi nulla con l'IP reale — né pagine, né perdite nei servizi in background.

Al ripristino del tunnel: la connessione si ripristina automaticamente, ipleak.net mostra di nuovo l'IP VPN. Il tempo di ripristino dipende dal protocollo — WireGuard di solito si riconnette in 1-3 secondi, OpenVPN può richiedere 10-30 secondi.

Kill switch e scelta del protocollo: a cosa influisce

Kill switch e protocollo — sono cose correlate. Più stabile è il tunnel, meno frequentemente si attiva il kill switch e più confortevole è il lavoro.

WireGuard e Amnezia WG: ripristino rapido del tunnel

WireGuard è stato scritto pensando a un rapido riconnessione. In caso di perdita di rete non interrompe la "sessione" — aspetta semplicemente che appaia un percorso verso il server. Non appena la rete è ripristinata, il tunnel si alza in 1-2 secondi senza handshake ripetuto.

Amnezia WG è WireGuard con offuscamento del traffico. Aggiunge byte casuali ai pacchetti, cambia il timing, rende il traffico meno simile al WireGuard standard. Per i provider russi che bloccano proprio WireGuard — è una buona soluzione senza perdita di velocità di riconnessione.

OpenVPN e IKEv2: comportamento in caso di perdita di rete

OpenVPN supporta il parametropersist-tun eping-restart, che gestiscono il comportamento in caso di interruzione. Senza una configurazione corretta, OpenVPN può richiedere 30-60 secondi per riconnettersi, durante i quali il kill switch tiene bloccata la connessione a Internet.

IKEv2 implementa il protocollo MOBIKE (RFC 4555), che consente di mantenere la sessione durante il cambio di IP — ad esempio, passando da Wi-Fi a LTE. Questo rende IKEv2 una delle migliori opzioni per dispositivi mobili: il tunnel si ripristina più velocemente, il kill switch si attiva meno frequentemente.

VLESS/XRay e Shadowsocks: mascheramento contro DPI

Se il tunnel si interrompe a causa del DPI — cambiare protocollo è più importante di qualsiasi impostazione del kill switch. VLESS con trasporto XTLS-Reality imita l'handshake TLS con un vero server pubblico (ad esempio, cloudflare.com). Il DPI vede un normale HTTPS verso un dominio noto e lascia passare il traffico.

Shadowsocks funziona in modo diverso: cripta il traffico in modo che appaia come un flusso crittografato casuale senza schemi caratteristici. È meno resistente a sondaggio attivo (active probing) rispetto a VLESS/Reality, ma molto più semplice da configurare e ampiamente supportato.

Quando si utilizzano questi protocolli, il kill switch rimane necessario — protegge in caso di caduta dell'applicazione o del server stesso. Ma la frequenza di attivazione diminuisce notevolmente.

Cosa scegliere se il tunnel si interrompe proprio con il tuo provider

Non c'è una risposta universale — dipende dal provider specifico e dal tipo di blocco. Approccio pratico: inizia con WireGuard, se è stabile — ottimo. Se è bloccato — prova Amnezia WG. Se anche questo si interrompe — passa a VLESS/Reality o Shadowsocks.

Alcuni servizi, incluso NvoVPN, forniscono configurazioni per più protocolli contemporaneamente — è comodo per testare senza cambiare provider. L'importante: configurazione del kill switch VPN: la risoluzione dei problemi di interruzione inizia sempre con la scelta di un protocollo stabile, non con la modifica delle impostazioni del kill switch stesso.