OpenVPN vs WireGuard, IKEv2, Shadowsocks — confronto 2026

Quando ho iniziato a capire i protocolli VPN dieci anni fa, la scelta era semplice: OpenVPN e basta. Ora tutto è diverso. Siamo a marzo 2026, il Roskomnadzor sta stringendo i dadi attraverso TSPU, e i protocolli si sono moltiplicati così tanto che la testa gira. OpenVPN vs WireGuard, IKEv2, VLESS, Shadowsocks, AmneziaWG — cosa funziona davvero e cosa è già morto?

Ho speso gli ultimi mesi testando diversi protocolli in condizioni reali con i provider russi. Questo articolo è il risultato. Senza copertura di marketing, con cifre concrete e raccomandazioni per le attività.

Cos'è OpenVPN e perché viene confrontato con altri protocolli

OpenVPN è apparso nel 2001. In 25 anni è diventato lo standard de facto — è supportato da router, reti aziendali, quasi tutti i provider VPN. Il protocollo è open source, è stato revisionato molte volte, utilizza la libreria OpenSSL per la crittografia.

Ma ogni anziano ha un problema: è stato studiato troppo bene. E non solo dai professionisti della sicurezza — ma anche dai sistemi DPI.

Come funziona OpenVPN: modalità UDP e TCP

OpenVPN può funzionare in due modalità. UDP — più veloce, meno overhead, adatto per lo streaming e i giochi. TCP — più lento, ma può travestirsi da normale traffico HTTPS sulla porta 443. È la modalità TCP che a lungo è stata un salvagente per aggirare i blocchi.

Architetturalmente, OpenVPN funziona in userspace — non nel kernel del sistema. Questo significa commutazioni di contesto aggiuntive durante l'elaborazione di ogni pacchetto. Su un computer potente non noterai la differenza. Su un router con processore MIPS e 128 MB di RAM — otterrai un limite di 5-10 Mbps.

Perché OpenVPN era lo standard — e cosa è cambiato entro il 2026

OpenVPN ha mantenuto il titolo per tre motivi: codice aperto, flessibilità di configurazione, supporto su qualsiasi dispositivo. Le alternative semplicemente non esistevano — IPsec è complicato, L2TP è pieno di buchi, PPTP è morto.

Cosa è cambiato? Innanzitutto, nel 2018 è apparso WireGuard — più veloce, più semplice, più moderno. In secondo luogo, TSPU ha imparato a rilevare OpenVPN anche tramite TCP 443: il protocollo ha un caratteristico TLS-handshake che differisce dal normale handshake del browser. Terzo, sono apparsi protocolli come VLESS+Reality, specificamente progettati per aggirare il DPI. OpenVPN vs alternative moderne — non è più una scelta univoca.

OpenVPN vs WireGuard: velocità, sicurezza, aggirare i blocchi

Questo è lo scontro principale e la differenza non è cosmetica. WireGuard è un approccio fondamentalmente diverso alla VPN. Circa 4.000 righe di codice rispetto alle circa 100.000 di OpenVPN. Funziona nel kernel Linux. Utilizza crittografia moderna (ChaCha20, Curve25519) senza possibilità di scelta — ed è un vantaggio, non uno svantaggio.

Test di velocità: OpenVPN UDP vs WireGuard su canale reale

Ho testato su un canale da 500 Mbps (Rostelecom, Mosca) con un server nei Paesi Bassi. Risultati:

WireGuard è più veloce di OpenVPN UDP di circa il 40-50%. La modalità TCP di OpenVPN è ancora più lenta a causa della doppia incapsulamento: TCP dentro TCP crea problemi di ritrasmissione. Su canali gigabit il divario è ancora più notevole.

Consumo della batteria su Android e iPhone

Sui dispositivi mobili WireGuard vince ancora più convincentemente. Il motivo è che non mantiene una connessione costante, ma invia pacchetti keepalive ogni 25 secondi. OpenVPN mantiene la sessione TLS continuamente.

Nei miei test su Samsung Galaxy S24 per 8 ore: WireGuard ha consumato il 3% della batteria, OpenVPN UDP — 7%, OpenVPN TCP — 9%. Su iPhone 15 i numeri sono simili. Se la VPN funziona tutto il giorno — è una differenza significativa.