OpenVPN su PC: installazione e configurazione nel 2026

\n\n

Utilizzo OpenVPN da circa sette anni. In questo periodo ho provato una decina di protocolli VPN, ma OpenVPN su PC rimane il mio strumento principale quando devo garantire di bypassare le restrizioni. Non perché sia il più veloce — no, WireGuard lo supera. Ma perché OpenVPN su PC funziona ancora dove altri protocolli sono già stati bloccati da tempo.

\n\n

In questo articolo — una guida concreta: come scaricare, installare e configurare il client OpenVPN per PC su Windows e macOS. Senza fronzoli, con soluzioni reali ai problemi che gli utenti affrontano in Russia nel 2026.

\n\n

Che cos'è OpenVPN e perché è ancora rilevante

\n\n

Il principio di funzionamento di OpenVPN in parole semplici

\n\n

OpenVPN crea un tunnel crittografato tra il tuo computer e il server VPN. Tutto il tuo traffico internet passa attraverso questo tunnel — il provider vede solo un flusso di dati crittografati, ma non sa quali siti stai visitando.

\n\n

Funziona in due modalità: UDP e TCP. UDP è più veloce — i dati viaggiano senza conferma di ricezione di ogni pacchetto. TCP è più affidabile e, cosa critica per noi, può funzionare attraverso la porta 443 — quella stessa utilizzata da tutti i siti HTTPS. È più difficile per il provider distinguere il traffico OpenVPN sulla porta 443 da una normale visita, ad esempio, a Google.

\n\n

OpenVPN vs WireGuard vs IKEv2 — quando scegliere cosa

\n\n

Diciamolo chiaramente. WireGuard è più veloce di OpenVPN di circa il 30-60% nella maggior parte degli scenari. Funziona nel kernel del sistema, utilizza crittografia moderna, il codice è compatto. Se non hai problemi con i blocchi — prendi WireGuard e non pensarci.

\n\n\n\n\n\n\n\n\n\n\n\n\n\n

Parametro	OpenVPN	WireGuard	IKEv2
Velocità	Media	Alta	Alto
Bypass DPI	TCP 443 + obfs	Male	Male
Porta	Qualsiasi	Solo UDP	UDP 500/4500
Mascheramento	Sotto HTTPS	No	No
Open-source	Sì	Sì	Parzialmente
Configurazione	Media	Semplice	Semplice

\n\n

IKEv2 è buono sui dispositivi mobili: si riconnette rapidamente quando si passa da Wi-Fi a 4G. Ma in condizioni di blocco è inutile: le porte UDP 500 e 4500 sono bloccate facilmente.

\n\n

OpenVPN vince proprio in flessibilità: TCP, qualsiasi porta, possibilità di offuscamento. Per la Russia nel 2026 — è spesso l'unica opzione che funziona in modo stabile.

\n\n

Funziona OpenVPN in condizioni di DPI e blocchi dei provider

\n\n

Roskomnadzor e i provider utilizzano sistemi di analisi profonda dei pacchetti (DPI) — TSPU, installati sui nodi di comunicazione. DPI è in grado di riconoscere i protocolli VPN grazie a firme caratteristiche nel handshake.

\n\n

WireGuard è facilmente bloccabile: protocollo UDP con un pattern riconoscibile. Anche IKEv2. Ma OpenVPN in modalità TCP sulla porta 443 si maschera da normale HTTPS. DPI può riconoscerlo dal TLS-handshake, ma nella pratica la maggior parte dei provider (Rostelecom, MTS, Beeline, Megafon) finora non blocca questo traffico in modo massiccio.

\n\n

Se il base OpenVPN TCP 443 non passa — ci sono obfsproxy e altri metodi di offuscamento. Ma di questo parleremo più avanti.

\n\n

Installazione di OpenVPN su Windows

\n\n

Download di OpenVPN GUI dal sito ufficiale

\n\n

Scaricate SOLO dal sito ufficiale:community.openvpn.net/openvpn/wiki/Downloads. Niente «scarica openvpn gratis» dai risultati di ricerca — lì c'è una alta probabilità che ci sia un client modificato con backdoor o modulo pubblicitario.

\n\n

A marzo 2026 la versione attuale è — OpenVPN 2.6.x. Scegliete l'installer per Windows (MSI o EXE). Per un sistema a 64 bit — file contrassegnato come amd64. Dimensione circa 5 MB.

\n\n

Installazione del client passo dopo passo

\n\n

\n
1. Avviate l'installer scaricatocome amministratore (clic destro → «Esegui come amministratore»). Senza questo il driver TAP non si installerà.
\n
2. Cliccate su «Customize» nella prima schermata. Assicuratevi che siano selezionati i componenti: OpenVPN GUI, TAP-Windows6 driver, OpenVPN Service.
\n
3. Clicca su Installa. Windows richiederà il permesso per installare il driver di rete — accetta. Questo è il driver TAP, attraverso il quale passerà il traffico VPN.
\n
4. Dopo l'installazione, nell'area di notifica (tray) apparirà l'icona di OpenVPN — un lucchetto grigio.
\n

\n\n

Se l'antivirus (Kaspersky, Dr.Web — un problema particolarmente comune) blocca l'installazione del driver TAP — aggiungi l'installer di OpenVPN e la cartellaC:\\Program Files\\OpenVPN alle eccezioni dell'antivirus. Kaspersky Internet Security è noto per bloccare silenziosamente il TAP senza avvisare l'utente.

\n\n

Importazione del file di configurazione .ovpn

\n\n

OpenVPN senza configurazione è solo un guscio vuoto. È necessario un file con estensione .ovpn, che contiene l'indirizzo del server, la porta, il protocollo e le chiavi di crittografia.

\n\n

Dove posizionare il file di configurazione:

\n\n

\n
• Metodo 1: Copia il file .ovpn inC:\\Users\\tuo_nome\\OpenVPN\\config\\
\n
• Metodo 2: Clic destro sull'icona di OpenVPN nel tray → «Importa file» → seleziona il file .ovpn
\n

\n\n

Se la cartellaOpenVPN\\config non esiste nel profilo utente — cercaC:\\Program Files\\OpenVPN\\config\\. Dipende dalla versione dell'installer.

\n\n

Primo collegamento e verifica IP

\n\n

Clic destro sull'icona OpenVPN nella tray → seleziona il nome della tua configurazione → «Connetti». Apparirà il log di connessione. Se tutto è configurato correttamente, dopo 5-15 secondi il lucchetto diventerà verde.

\n\n

Ora verifichiamo. Apri il browser, vai suwhoer.net oipleak.net. Dovrebbe essere visualizzato l'indirizzo IP del server VPN, non il tuo reale. Fai attenzione alla sezione DNS: se ci sono i server DNS del tuo provider (ad esempio, DNS di Rostelecom), significa che hai una perdita DNS. Come risolvere - lo spiegherò nella sezione sui problemi.

\n\n

Su un PC aziendale, dove non ci sono diritti di amministratore, puoi provare la versione portable di OpenVPN. Non richiede l'installazione del driver TAP, ma non funziona con tutte le configurazioni. Cerca OpenVPN Portable su PortableApps.com.

\n\n

Installazione di OpenVPN su macOS

\n\n

Tunnelblick - il miglior client per Mac

\n\n

Su macOS non esiste un GUI ufficiale di OpenVPN. Invece, c'èTunnelblick. Gratuito, open-source, supportato dal 2004. Scarica da tunnelblick.net - l'attuale versione stabile è 4.0.1 (marzo 2026).

\n\n

L'installazione è standard: scarica il DMG, trascinalo in Applicazioni, avvialo. macOS Ventura, Sonoma e Sequoia richiederanno un'autorizzazione aggiuntiva:Impostazioni di Sistema → Privacy& Sicurezza → VPN - consenti a Tunnelblick di creare connessioni VPN. Senza questa autorizzazione, la connessione non andrà a buon fine e l'errore sarà poco chiaro.

\n\n

Su chip Apple Silicon (M1, M2, M3, M4) Tunnelblick funziona nativamente. Non sono necessari passaggi aggiuntivi con Rosetta.

\n\n

Importazione della configurazione e connessione

\n\n

Il modo più semplice: doppio clic sul file .ovpn. Tunnelblick lo prenderà automaticamente e chiederà - installare per l'utente attuale o per tutti. Scegli "Solo io".

\n\n

Dopo l'importazione, clicca sull'icona di Tunnelblick nella barra dei menu (parte superiore) → seleziona la configurazione → "Connetti". Il log di connessione mostrerà lo stato. Icona verde = connesso.

\n\n

Controllo IP - lo stesso: whoer.net, ipleak.net. Su Mac ci sono spesso perdite DNS attraverso il risolutore di sistema. Nelle impostazioni di Tunnelblick attiva "Imposta DNS/WINS" → "Imposta nameserver".

\n\n

Alternativa: OpenVPN Connect per macOS

\n\n

OpenVPN Connect è il client ufficiale di OpenVPN Inc. Si scarica dall'App Store o da openvpn.net. L'interfaccia è più semplice rispetto a Tunnelblick, ma la funzionalità è limitata: non ci sono impostazioni avanzate, non è possibile modificare il config tramite GUI.

\n\n

Io uso Tunnelblick - maggiore controllo. Ma se hai bisogno di "installare e dimenticare", OpenVPN Connect va bene.

\n\n

Dove ottenere la configurazione .ovpn

\n\n

Config dal provider VPN

\n\n

Il modo più semplice. La maggior parte dei servizi VPN che supportano OpenVPN forniscono file .ovpn pronti nel proprio pannello personale. NvoVPN, ad esempio, genera config per ogni posizione - scaricato, inserito nel client, connesso. Lì puoi anche scegliere TCP o UDP, porta e protocollo di crittografia.

\n\n

Il vantaggio delle config del provider è che sono già ottimizzate. Server DNS corretti, certificati aggiornati, crittografia configurata. Non è necessario modificare nulla manualmente.

\n\n

Il proprio server OpenVPN su VPS

\n\n

Per chi desidera il pieno controllo. Affitti un VPS all'estero (Hetzner, DigitalOcean, Vultr - a partire da €4/mese), installi OpenVPN Access Server o lo distribuisci tramite lo scriptopenvpn-install.sh di Nyr (disponibile su GitHub).

\n\n

Svantaggi: sono necessarie competenze di base su Linux, l'IP del tuo server potrebbe essere bloccato, dovrai aggiornare e mantenere tutto da solo. Ma per i paranoici - questa è l'unica opzione in cui sai con certezza che i log non vengono scritti.

\n\n

Config gratuite - perché è una cattiva idea

\n\n

In internet ci sono molti siti con "configurazioni OpenVPN gratuite". VPNGate, canali Telegram casuali, forum. Sconsiglio vivamente di utilizzarli.

\n\n

Problemi delle configurazioni gratuite:

\n\n

\n
• Attacchi MITM. Il proprietario del server può intercettare il traffico non crittografato (HTTP, richieste DNS). Pensate di essere protetti, ma in realtà è il contrario.
\n
• Logging. Un server gratuito è pagato da qualcuno. Come? Con i vostri dati.
\n
• Virus nelle configurazioni. Un file .ovpn può contenere direttiveup edown, che eseguono script al momento della connessione. Aprite la configurazione con un editor di testo e controllate prima di importarla.
\n
• Instabilità. I server gratuiti sono sovraccarichi e cadono.
\n

\n\n

Ottimizzazione di OpenVPN per bypassare i blocchi

\n\n

TCP vs UDP — cosa scegliere in Russia nel 2026

\n\n

Risposta breve: iniziate con UDP — è più veloce. Se non si connette o si interrompe continuamente — passate a TCP 443.

\n\n

Nel file .ovpn queste sono le righe:

\n\n

proto udp — per UDP (di solito porta 1194)
\nproto tcp — per TCP (consiglio la porta 443)

\n\n

Alcuni provider (soprattutto nelle regioni) bloccano completamente UDP 1194. TCP 443 funziona quasi ovunque, perché il suo blocco romperebbe tutto l'internet HTTPS. I provider lo capiscono.

\n\n

Porta 443 e mascheramento sotto HTTPS

\n\n

Quando OpenVPN funziona tramite TCP sulla porta 443, per un osservatore esterno il traffico appare come una normale connessione HTTPS. Il sistema DPI del provider vede il handshake TLS e il flusso di dati crittografati — visivamente indistinguibile dalla visita di qualsiasi sito.

\n\n

Ma c'è un dettaglio. I sistemi DPI avanzati (tipo TSPU) analizzano i modelli di handshake TLS e possono distinguere OpenVPN da un vero HTTPS. In tal caso è necessaria l'offuscamento.

\n\n

Obfsproxy e obfs4 — offuscamento aggiuntivo

\n\n

Obfsproxy è uno strato proxy, originariamente sviluppato per Tor. Avvolge il traffico OpenVPN in uno strato aggiuntivo, rendendolo indistinguibile dal rumore casuale. Il DPI non può classificare tale traffico.

\n\n

Configurazione di obfsproxy lato client:

\n\n

\n
1. Installa obfs4proxy: su Windows — scarica il binario dal Tor Browser Bundle, su Mac —brew install obfs4proxy
\n
2. Aggiungi al file .ovpn le righe:socks-proxy 127.0.0.1 1050
\n
3. Avvia obfs4proxy localmente prima di connetterti a OpenVPN
\n

\n\n

Sembra complicato? Sì. Ecco perché presta attenzione a Amnezia VPN: utilizzano OpenVPN modificato con offuscamento out-of-the-box (AmneziaWG). Configurazione tramite GUI, senza configurazione manuale di obfsproxy. Ma se desideri utilizzare il client openvpn per PC con offuscamento personalizzato, obfs4 rimane la migliore opzione.

\n\n

Cosa fare se OpenVPN ha smesso di connettersi

\n\n

Algoritmo passo-passo:

\n\n

\n
1. Controlla senza VPN — internet funziona? Il DNS si risolve?
\n
2. Cambia protocollo: se era UDP — passa a TCP 443. O viceversa.
\n
3. Cambia server. Potrebbe essere che l'IP di un server specifico sia stato bloccato.
\n
4. Controlla l'orario. Sul serio. Differenza di tempo superiore a 5 minuti = TLS handshake fallito.
\n
5. Aggiorna il config. I certificati hanno una scadenza. Scarica un file .ovpn aggiornato dal provider.
\n
6. Prova tramite internet mobile. Se funziona tramite 4G/5G, ma non con il provider domestico — significa che c'è un blocco da parte del provider.
\n

\n\n

Se nulla funziona — il provider sta probabilmente bloccando OpenVPN anche su TCP 443. In questo caso è necessaria l'offuscazione (obfs4) o il cambio di protocollo in Shadowsocks/VLESS.

\n\n

Soluzione ai problemi comuni

\n\n

Handshake TLS fallito

\n\n

L'errore più comune. Cause:

\n\n

\n
• Ora errata sul PC. I certificati TLS sono legati al tempo. Apri le impostazioni della data e attiva la sincronizzazione automatica. Sì, nel 2026 le persone dimenticano ancora questo.
\n
• Certificato scaduto. Il file di configurazione .ovpn contiene un certificato con scadenza limitata. Scarica uno nuovo dal provider.
\n
• Blocco DPI. Il provider interrompe il handshake TLS di OpenVPN. Soluzione: offuscamento o cambio di protocollo.
\n
• Firewall o antivirus. Disattivali temporaneamente e riprova. Kaspersky e Dr.Web sono i principali sospettati.
\n

\n\n

Nel log di OpenVPN cerca la rigaErrore TLS: la negoziazione della chiave TLS non è riuscita a verificarsi entro 60 secondi — questo conferma che l'handshake non riesce. SeErrore TLS: impossibile localizzare HMAC — il problema è nella configurazione (discrepanza nella chiave tls-auth).

\n\n

AUTH_FAILED — errore di autorizzazione

\n\n

Nome utente o password errati. Controlla:

\n\n

\n
• La correttezza del nome utente/password (copia nuovamente dal tuo pannello personale, non digitare a mano)
\n
• Codifica: se nella password ci sono caratteri speciali, assicurati che il file auth.txt sia salvato in UTF-8
\n
• La scadenza dell'abbonamento al servizio VPN è scaduta?
\n

\n\n

Se nel file di configurazione c'èauth-user-pass auth.txtcontrolla il file auth.txt: la prima riga è il nome utente, la seconda è la password. Nessuno spazio dopo la password, nessuna terza riga.

\n\n

La connessione è attiva, ma i siti non si aprono

\n\n

L'icona verde è accesa, ma il browser mostra "nessuna connessione". Classico. Di solito il problema è nei DNS o nel routing.

\n\n

\n
• I DNS non funzionano. Prova ad aprire il sito tramite IP: inserisci142.250.185.14 nel browser (questo è Google). Se si apre, il problema è sicuramente nei DNS. Imposta i DNS manualmente: 1.1.1.1 (Cloudflare) o 8.8.8.8 (Google).
\n
• Il percorso non è configurato. Aggiungi nel file .ovpn la rigaredirect-gateway def1 — questo dirigerà tutto il traffico attraverso la VPN.
\n
• Doppio NAT. Se il provider ha un IP grigio (10.x.x.x o 100.64.x.x) — UDP potrebbe funzionare in modo instabile. Passa a TCP.
\n

\n\n

Fughe di DNS — come controllare e correggere

\n\n

Ci siamo connessi a VPN, l'IP è cambiato, ma le richieste DNS continuano a passare attraverso il provider. Il provider vede quali siti visiti, nonostante la VPN. Questa è una fuga DNS.

\n\n

Verifica: vai sudnsleaktest.com → clicca su "Test esteso". Se nei risultati vedi i server DNS del tuo provider, c'è una fuga.

\n\n

Correzione per Windows: aggiungi al file .ovpn:

\n\n

block-outside-dns

\n\n

Questa direttiva blocca tutte le richieste DNS, tranne quelle che passano attraverso il tunnel VPN. Funziona solo su Windows.

\n\n

Su macOS: nelle impostazioni di Tunnelblick seleziona la configurazione → Impostazioni → "Imposta DNS/WINS" → seleziona "Imposta nameserver". Tunnelblick sovrascriverà i DNS di sistema con quelli della VPN al momento della connessione.

\n\n

Soluzione universale per entrambi i sistemi operativi: specifica manualmente i DNS nella configurazione:

\n\n

dhcp-option DNS 1.1.1.1
\ndhcp-option DNS 8.8.8.8

\n\n

E un altro caso che spesso viene dimenticato: se condividi internet dal telefono (hotspot mobile) e colleghi openvpn pc tramite questa rete, potrebbero esserci problemi con l'MTU. Le reti mobili spesso tagliano pacchetti grandi. Aggiungi nella configurazionemssfix 1400 ofragment 1300 — questo limiterà la dimensione dei pacchetti e risolverà il problema delle interruzioni.

\n\n