OpenConnect: configurazione e connessione nel 2026
OpenConnect: configurazione e connessione nel 2026 Se hai in mano la configurazione del server ocserv o ti sono state fornite le credenziali per il corporate AnyConnect, e il client restituisce un errore all'avvio — sei nel posto giusto. OpenConnect: configurazione e connessione — è un argomento che
OpenConnect: configurazione e connessione nel 2026
Se hai in mano la configurazione del server ocserv o ti sono state fornite le credenziali per il corporate AnyConnect, e il client restituisce un errore all'avvio — sei nel posto giusto. OpenConnect: configurazione e connessione — è un argomento che la maggior parte degli articoli affronta fino al primo screenshot, e poi abbandona. Qui esaminerò tutto il percorso: dalla scelta del client alla diagnosi dei conflitti di routing e del comportamento con DPI attivo.
Che cos'è OpenConnect e quando è necessario
OpenConnect è un client VPN open source, originariamente scritto come alternativa libera a Cisco AnyConnect. È in grado di connettersi a server basati su ocserv (Open anyconnect-compatible Server) e a gateway aziendali Cisco. Client e server sono cose diverse, e i principianti spesso si confondono: openconnect è ciò che hai sul tuo dispositivo, ocserv è ciò che gira sul server.
OpenConnect come client per server ocserv e Cisco AnyConnect
Il protocollo sotto il cofano si chiama DTLS/TLS. La connessione viene stabilita tramite TLS sulla porta 443 — quella stessa su cui funziona qualsiasi sito HTTPS. Se DTLS non è disponibile, il client scende a puro TLS/TCP. Questo è il principale punto di forza del protocollo.
Sui server aziendali Cisco AnyConnect è spesso attivato il host-check — un controllo obbligatorio della versione e del tipo di client. Il client OpenConnect di terze parti non supererà questo controllo. Se ti connetti a un gateway aziendale, chiedi all'amministratore di sistema se i client di terze parti sono consentiti. Per i server ocserv personali, questa limitazione è solitamente disattivata.
Cosa distingue OpenConnect da WireGuard, OpenVPN e IKEv2
WireGuard funziona su UDP e mostra ottime velocità — ma la sua firma è facilmente leggibile da qualsiasi DPI. Bloccare WireGuard è più semplice che bloccare un sito specifico. OpenVPN in modalità UDP viene rilevato in modo simile; in modalità TCP la mascheratura è migliore, ma la velocità diminuisce. IKEv2/IPSec è una buona scelta per le reti mobili, ma le porte 500/4500 vengono bloccate con un semplice clic.
OpenConnect vince proprio in termini di mascheratura: il traffico sulla porta 443 con handshake TLS è esternamente indistinguibile da un normale HTTPS in caso di ispezione superficiale. Perde in velocità — l'overhead TCP e il livello TLS si fanno sentire, specialmente su hardware debole. Su dispositivi mobili la batteria si scarica un po' più velocemente rispetto a WireGuard.
Perché il protocollo basato su TLS è più difficile da bloccare tramite DPI
Deep Packet Inspection è quando il provider non si limita a guardare l'IP e la porta, ma analizza il contenuto dei pacchetti. WireGuard è immediatamente visibile per il suo formato di handshake specifico. Il traffico TLS sulla porta 443 non può essere bloccato completamente — verrebbero bloccati tutte le banche, i negozi e la posta. Pertanto, il DPI cerca di riconoscere l'handshake di AnyConnect attraverso indizi indiretti.
Onestamente: i sistemi avanzati sono in grado di farlo. Soprattutto se il provider utilizza attrezzature da TSPU (Strumenti Tecnici per il Contrasto alle Minacce) — quelle stesse che bloccano YouTube. Se un blocco normale sulla porta 443 non ti colpisce, sono necessari protocolli offuscati: Shadowsocks, VLESS/XRay, Amnezia VPN.
Cosa preparare prima della configurazione
Prima di aprire qualsiasi client, raccogli tutti i dati. Senza di essi, la configurazione diventerà un gioco di indovinelli.
Dati del server: indirizzo, porta, nome utente e password o certificato
Set minimo: hostname o indirizzo IP del server, porta (di solito 443, raramente 8443 o non standard), nome utente e password. Se il server è configurato per l'autenticazione tramite certificato — file in formato .p12 (PKCS#12) e password per esso. Alcuni server richiedono l'autenticazione a due fattori: il codice TOTP viene generato ogni 30 secondi, e il client standard può richiederlo in un campo separato — assicurati di avere un'app come Aegis o Google Authenticator con l'account necessario.
Verifica della compatibilità del server (ocserv, AnyConnect)
Prova ad aprire l'indirizzo del server nel browser:https://vpn.example.com. Se vedi la pagina di accesso di AnyConnect o ocserv — tutto è normale. Se ricevi un errore SSL con un CA sconosciuto — potrebbe essere che il server utilizzi un certificato autofirmato, e avrai bisogno del suo fingerprint per il parametro--servercert.
Scelta del client per la tua piattaforma
Client ufficiale da consoleopenconnect — per Linux e macOS. Windows: OpenConnect-GUI (openconnect-gui.github.io) o Cisco Secure Client (se server aziendale). Android: app "OpenConnect" dello sviluppatore Cebe su Google Play. iOS: Cisco Secure Client o client compatibili dall'App Store. Non installare client da fonti sconosciute — il rischio di ottenere una build manomessa con intercettazione del traffico è reale.
Configurazione passo passo di OpenConnect su diversi dispositivi
OpenConnect: configurazione e connessione nella pratica appare in modo diverso a seconda della piattaforma. Di seguito — passaggi specifici senza fronzoli.
Windows: OpenConnect-GUI e comando tramite terminale
Scarica l'installer di OpenConnect-GUI dal repository ufficiale di GitHub (versione 1.5.3 al momento della scrittura). Avvia l'installazione, quindi apri il programma. Clicca su "New profile", inserisci il nome del profilo e l'indirizzo del server nel campo Gateway. Nel campo Protocol seleziona "AnyConnect". Inserisci il nome utente nel campo Username.
Se il server utilizza un certificato autofirmato, la prima connessione restituirà un avviso con il fingerprint — confrontalo con quello fornito dall'amministratore del server e clicca su "Accept" solo se corrisponde. Tramite terminale appare così:
openconnect --protocol=anyconnect --user=yourusername vpn.example.com:443
Il flag--servercert aggiungilo se il CA non è riconosciuto dal sistema:
openconnect --protocol=anyconnect --servercert sha256:FINGERPRINT --user=yourusername vpn.example.com
Android: applicazione OpenConnect e importazione del certificato
Installa l'applicazione OpenConnect da Google Play. Aprila, premi «+» per un nuovo profilo. Nel campo Hostname inserisci l'indirizzo del server. Login e password — nei campi corrispondenti. Se è necessario un certificato: vai su Impostazioni → Certificati, premi «Importa», seleziona il file .p12 dal dispositivo, inserisci la password del certificato. Dopo l'importazione torna al profilo e collega il certificato nel campo Certificato.
Importante: non tenere il file .p12 nella cartella «Download» costantemente. Dopo l'importazione spostalo in uno storage crittografato o eliminalo dal dispositivo.
iPhone e iPad: connessione tramite client compatibile
Su iOS funziona Cisco Secure Client (ex AnyConnect). Installa dall'App Store. Apri l'app, premi «Connections» → «Add VPN Connection». Inserisci l'indirizzo del server, login e password. Se il certificato .p12 è protetto da password — iOS la richiederà durante l'importazione separatamente, tramite il menu «Files» o AirDrop. La procedura è leggermente diversa da Android: prima apri il file .p12 tramite «Condividi» → «Cisco Secure Client», l'applicazione offrirà automaticamente di importarlo.
Linux e macOS: configurazione tramite linea di comando
Su Ubuntu/Debian:sudo apt install openconnect network-manager-openconnect. Su macOS tramite Homebrew:brew install openconnect. Comando base per la connessione:
sudo openconnect --protocol=anyconnect --user=yourusername vpn.example.com
Per l'autenticazione del certificato aggiungi--certificate=client.p12 --sslkey=client.p12. Il flag--background porterà il processo in background. DNS dopo la connessione viene configurato tramite vpnc-script — assicurati che il pacchettovpnc sia installato, altrimenti le rotte non verranno aggiunte e internet scomparirà.
Router con OpenWrt: pacchetto openconnect
Su OpenWrt 23.05 e superiori:opkg install openconnect vpnc-scripts. Crea un'interfaccia in Rete → Interfacce → Aggiungi nuova interfaccia, protocollo — OpenConnect. Specifica l'indirizzo del server, le credenziali. Un router debole con CPU senza AES-NI hardware gestirà la crittografia TLS sulla CPU — questo è notevolmente più lento rispetto a WireGuard sulla stessa hardware. Su router come GL.iNet MT3000 o Xiaomi AX3000T con CPU normale il risultato è accettabile. Su un vecchio TP-Link TL-WR841N con 32 MB di RAM non provare nemmeno.
Il vantaggio del VPN router è evidente: tutto il traffico nella rete, inclusi Smart TV, Apple TV, console di gioco, passa attraverso il tunnel senza client su ogni dispositivo.
Evitare blocchi e DPI durante l'uso di OpenConnect
Funzionamento attraverso la porta 443 e mascheramento come HTTPS
OpenConnect utilizza per impostazione predefinita la porta 443 — la stessa di HTTPS. Con un'ispezione superficiale dei pacchetti, il provider vede una connessione TLS e non può distinguerla da una normale visita al sito della banca. È per questo che viene utilizzato più frequentemente dove WireGuard e OpenVPN vengono già bloccati.
Ma il provider può bloccare l'indirizzo IP del server stesso — allora la porta 443 non aiuta. Questa è un'altra storia: se il ping al server non passa affatto, il protocollo non c'entra, è necessario cambiare server o utilizzare il fronting CDN. Un altro caso non ovvio: gli operatori mobili bloccano il traffico tramite l'estensione SNI direttamente all'interno del handshake TLS — anche sulla porta 443. Questo si chiama filtraggio SNI, e contro di esso sono necessarie soluzioni con SNI crittografato (ECH) o altri protocolli.
Sblocco di YouTube, Instagram, Facebook, Twitter/X
YouTube nel 2026 rallenta attraverso TSPU per la maggior parte dei provider russi. OpenConnect attraverso la porta 443 aggira efficacemente questo rallentamento — il traffico appare come un normale HTTPS e non rientra nelle regole specifiche per YouTube CDN. Instagram (bloccato da Roskomnadzor), Facebook e Twitter/X — analogamente, il blocco principale si basa su liste IP e in parte su DNS, e il tunnel VPN aggira entrambi i metodi.
Accesso a TikTok, Telegram e WhatsApp con restrizioni del provider
TikTok non è ufficialmente bloccato, ma alcuni provider bloccano il suo traffico a loro discrezione o su richiesta. Attraverso il tunnel OpenConnect TikTok funziona normalmente. Telegram — è una storia a parte: in Russia è stato sbloccato ufficialmente, ma alcuni operatori mantengono ancora le vecchie regole o bloccano porte specifiche. Il tunnel VPN elimina completamente questo problema. WhatsApp funziona senza blocchi, ma le chiamate vocali e video possono soffrire di latenza — l'overhead TLS/TCP qui è percepibile.
Cosa fare in caso di rallentamento dei siti e DPI attivo di Roskomnadzor
Se openconnect si connette, ma la velocità non è soddisfacente — controlla se è attivo lo split-tunnel. Alcuni server indirizzano solo parte del traffico attraverso la VPN, e i server CDN russi di YouTube rientrano nel percorso locale, dove funziona TSPU. Chiedi all'amministratore del server di attivare il full-tunnel o configura un percorso forzato attraverso la VPN da solo.
Se un DPI avanzato riconosce l'handshake di AnyConnect e lo blocca — OpenConnect non aiuta più. In questo caso, le opzioni funzionanti sono: Amnezia VPN con WireGuard offuscato, VLESS/XRay con XTLS-Reality, o Shadowsocks-2022. NvoVPN, ad esempio, supporta più protocolli contemporaneamente — utile quando non si desidera occuparsi di un server autonomo e si ha bisogno di un rapido cambio di protocollo in caso di blocco.
Errori di connessione comuni e loro soluzione
Errore Certificate verify failed e problemi con il certificato
L'errore più comune appare comeSSL connection failure oLa verifica del certificato è fallita. Ci sono diverse ragioni. Prima: la scadenza del certificato del server è scaduta — controlla la data tramiteopenssl s_client -connect vpn.example.com:443 e guarda il campo «Not After». Seconda: il certificato è firmato da una CA che non è nel deposito di sistema — aggiungi il flag--cafile=/path/to/ca.crt. Terza: certificato autofirmato — chiedi all'amministratore l'impronta SHA256 e trasmettila tramite--servercert sha256:IMPRONTA.
Non usare mai il flag--no-cert-check in produzione — questo disabilita completamente il controllo del certificato e apre la strada a un attacco MITM.
Timeout di connessione e interruzione del tunnel
Se la connessione si blocca su «Establishing HTTPS tunnel» — probabilmente il provider sta tagliando i pacchetti verso il server. Controlla:curl -v https://vpn.example.com. Se c'è un timeout — non è colpa del client. Prova una porta non standard (8443, 10443) — a volte aiuta, se il blocco è basato su firma, non su IP. Se bloccano per IP — solo cambio dell'indirizzo del server o CDN.
Interruzioni dopo alcuni minuti di funzionamento — controlla le impostazioni di keepalive del server. Il flag--reconnect-timeout=30 costringerà il client a ripristinare la connessione in modo più aggressivo.
Nessun accesso a Internet dopo la connessione (route e DNS)
Connesso, tunnel attivato, ma non c'è Internet — problema comune su Linux. La causa è solitamente in vpnc-script: se lo script non è stato eseguito, le route non sono state aggiunte. Controlla:ip route show — dovrebbe esserci una route attraverso l'interfaccia tun. Controlla anche il DNS:cat /etc/resolv.conf — lì dovrebbe esserci un server DNS dal VPN, non il locale 192.168.x.x.
Perdita di DNS — argomento a parte: se le richieste DNS vanno oltre il tunnel, il provider vede quali siti visiti, anche se il traffico è crittografato. Su Linux usaresolvconf osystemd-resolved per cambiare correttamente il DNS quando il tunnel è attivato.
Velocità lenta e ping alto
OpenConnect funziona sopra TCP, e TCP sopra TCP — è un doppio controllo del flusso, e questo è lento per definizione. Se DTLS (UDP) è disponibile, il client passerà automaticamente a esso — nei log vedrai «DTLS handshake failed» o «Connected as ... using DTLS». Assicurati che la porta UDP 443 non sia bloccata dal provider.
Ping alto (200+ ms dove senza VPN 30 ms) — segno di un server sovraccarico o di una grande distanza geografica. I test di velocità devono essere eseguiti personalmente su un server specifico e un provider specifico — qualsiasi «numero medio» negli articoli è un'invenzione, dipendente da troppe variabili.
Cosa distingue OpenConnect da OpenVPN?
Sono protocolli fondamentalmente diversi, non versioni dello stesso. OpenConnect è compatibile con il protocollo Cisco AnyConnect e i server ocserv, funziona sopra TLS sulla porta 443 e si maschera esternamente come HTTPS. OpenVPN è un protocollo proprietario con il proprio formato di pacchetti; in modalità UDP è più veloce, ma è più facile da catturare con DPI. In modalità TCP OpenVPN si comporta in modo più simile a OpenConnect, ma il handshake è comunque diverso. Se il provider blocca OpenVPN, OpenConnect a volte passa — e viceversa.
OpenConnect elude i blocchi del Roskomnadzor e DPI?
Spesso sì. Il traffico sulla porta 443 con un involucro TLS è difficile da distinguere da un normale HTTPS durante un'ispezione di base. Nella pratica passa dove WireGuard e OpenVPN sono già bloccati. Ma l'attrezzatura TSPU è in grado di riconoscere l'handshake di AnyConnect per segni comportamentali — in questo caso il tunnel viene comunque interrotto. Non ci sono garanzie al 100% per nessun protocollo. Se OpenConnect smette di funzionare — il passo successivo è Amnezia o VLESS/XRay.
Come importare un certificato in OpenConnect su Android?
Apri l'app OpenConnect, vai su Impostazioni → Certificati, tocca «Importa certificato». Seleziona il file .p12 tramite il gestore file, inserisci la password del certificato. Dopo un'importazione riuscita, vai nelle impostazioni del profilo desiderato e seleziona il certificato appena aggiunto nel campo Certificato. Importante: non tenere il file .p12 in cartelle aperte come «Download» — è la tua chiave privata, la sua compromissione significa la compromissione di tutta la connessione.
Perché dopo la connessione OpenConnect scompare Internet?
La colpa è spesso di vpnc-script — deve aggiungere le route e cambiare il DNS quando il tunnel è attivato. Controlla se il pacchetto vpnc è installato (su Linux). Eseguiip route show e assicurati che il traffico passi attraverso l'interfaccia tun. Controlla/etc/resolv.conf — se c'è un DNS locale, le richieste bypassano la VPN. Su Windows lo stesso problema si risolve tramite le impostazioni dell'adattatore: assicurati che il DNS per l'interfaccia VPN sia specificato esplicitamente.
È possibile configurare OpenConnect sul router?
Sì, sul firmware OpenWrt tramite i pacchetti openconnect e vpnc-scripts. Dopo la configurazione, la VPN funziona per tutta la rete contemporaneamente: Smart TV, Apple TV, PlayStation, Xbox — tutto passa attraverso il tunnel senza client su ogni dispositivo. La principale limitazione: un router con CPU lenta senza AES hardware rallenterà significativamente di più sulla crittografia TLS rispetto a WireGuard. Prima di scegliere questa opzione, controlla le specifiche del tuo router.
OpenConnect è più lento di WireGuard?
In generale, sì. TLS sopra TCP aggiunge overhead — ogni pacchetto perso provoca una ritrasmissione a livello TCP, e sopra c'è anche il TCP delle applicazioni. WireGuard su UDP non lo fa. La differenza è percepibile su canali congestionati e con alta perdita di pacchetti. Ma WireGuard è anche più facile da rilevare. La scelta è semplice: se la velocità è una priorità e il provider non limita WireGuard — prendi WireGuard. Se hai bisogno di resistenza ai blocchi — OpenConnect o protocolli offuscati. I numeri specifici dipendono dal server, dal canale e dal provider — non credere agli articoli con "risultati dei test" senza metodologia.
Articoli correlati
Potrebbero interessarti anche
TUIC: configurazione e connessione VPN nel 2026
TUIC: configurazione e connessione VPN nel 2026 Se hai già provato VLESS e Shadowsocks, ma il provid...
Leggi di piùCloak offuscazione: configurazione e collegamento nel 2026
Cloak offuscazione: configurazione e collegamento nel 2026 Se il provider taglia WireGuard o OpenVPN...
Leggi di piùSing-box: configurazione e collegamento — guida completa 202...
Sing-box: configurazione e collegamento — guida completa 2026 Se hai in mano un config o un link di...
Leggi di più