Configurazione manuale VPN: migliori opzioni 2026

Se stai cercando le migliori impostazioni manuali per VPN — i valori corretti per protocolli, porte e crittografia che funzionano realmente contro il DPI russo — questo articolo è proprio su questo. Non consigli generali, ma numeri specifici che ho verificato nella pratica nel 2026.

La maggior parte degli articoli sulla configurazione manuale della VPN fornisce istruzioni "clicca qui, inserisci il login", ma tace su quale MTU impostare, perché WireGuard su 51820 è subito visibile nella rete del provider russo e cosa sia Jc in AmneziaWG. Ecco cosa analizzeremo.

Quando la configurazione manuale della VPN è migliore dell'applicazione pronta

L'applicazione VPN è comoda. Premi un pulsante, ti connetti. Ma quando il provider inizia a tagliare il traffico o bloccare il protocollo stesso, l'applicazione con impostazioni predefinite spesso cede per prima. La configurazione manuale consente di scegliere esattamente quei parametri che aggirano un filtro specifico.

L'applicazione è bloccata dal provider, ma la configurazione manuale no

Il DPI (Deep Packet Inspection) dei provider russi è in grado di riconoscere i pattern delle popolari applicazioni VPN — tramite porte, handshake e caratteristiche temporali del traffico. La configurazione manuale con una porta non standard e offuscamento appare diversa. Ecco perché una configurazione WireGuard fatta in casa sulla porta 443 spesso funziona dove l'applicazione ufficiale rallenta.

Scelta flessibile di porta, protocollo e crittografia

In modalità manuale scegli tu stesso: UDP o TCP, porta 443 o 1194, quale cifratura utilizzare. Questo è particolarmente importante con NAT simmetrico presso gli operatori mobili — spesso interrompe le connessioni UDP, e l'unica soluzione è passare a TCP/443.

Configurazione su dispositivi senza applicazione: router, Smart TV, Apple TV

Apple TV, Smart TV Samsung/LG e console di gioco — PlayStation, Xbox — non supportano direttamente i client VPN. L'unico modo per far passare il loro traffico attraverso la VPN è configurarla a livello di router. Senza configurazione manuale, questo non è possibile.

Quando la configurazione manuale NON è necessaria e è più semplice lasciare l'applicazione

Se l'applicazione VPN funziona e la velocità è soddisfacente — non c'è bisogno di toccare nulla. La configurazione manuale comporta il rischio di errori nei parametri, e allora la connessione non si stabilirà affatto o ci saranno perdite DNS. I principianti senza esperienza farebbero meglio a iniziare con un'applicazione pronta e passare alla configurazione manuale solo in caso di problemi specifici.

Migliori parametri per protocolli: WireGuard, OpenVPN, IKEv2, VLESS, Amnezia

Ecco dove la maggior parte delle guide fallisce — forniscono informazioni generali senza valori specifici. Di seguito — intervalli di lavoro reali per le condizioni della Russia nel 2026. Questo è ciò che viene chiamato le migliori impostazioni manuali per VPN nella comunità professionale.

WireGuard: MTU, Keepalive, AllowedIPs — quali valori impostare

WireGuard è veloce e semplice, ma "nudo" — senza offuscamento — è facilmente rilevabile dal DPI per il caratteristico handshake. Tuttavia, se il provider non lo blocca, è la scelta migliore per velocità.

Parametri specifici:

MTU: 1280–1420. Inizia con 1420. Se le pagine si caricano lentamente con un ping normale — riduci di 10 fino a 1280. Nelle reti mobili spesso è necessario 1360 o meno.
PersistentKeepalive: 25. Mantiene la connessione attraverso il NAT. Senza questo parametro, la connessione si interrompe dopo pochi minuti di inattività.
AllowedIPs: 0.0.0.0/0, ::/0. Assicurati di abilitare il blocco IPv6 — altrimenti il traffico IPv6 bypasserà il tunnel e rivelerà il tuo vero IP.
DNS: 1.1.1.1 o 9.9.9.9. Non utilizzare il DNS del provider all'interno del tunnel.

OpenVPN: UDP contro TCP, porta 443, tls-crypt e offuscamento

OpenVPN è un vecchio cavallo, ma flessibile. UDP è più veloce, TCP è più affidabile in una rete scadente. Con un DPI severo, passa a TCP/443 — questo rende il traffico esternamente simile a HTTPS.

Assicurati di utilizzaretls-crypt invece del superatotls-auth — cripta anche l handshake TLS e complica notevolmente il riconoscimento del protocollo. Senza questo, OpenVPN sulla porta 1194 viene rilevato immediatamente. Il parametroverb 3 nella configurazione — attivalo per la diagnostica, poi rimuovilo.

IKEv2/IPsec: quando è adatto e dove viene bloccato

IKEv2 è buono su iOS e macOS — è integrato nel sistema, non è necessaria un'applicazione separata. Si riconnette rapidamente quando cambia la rete (Wi-Fi → mobile). Ma IPsec sulla porta 500/4500 UDP viene bloccato dal Roskomnadzor senza cerimonie dove applica attivamente i blocchi. Per uso domestico in Russia nel 2026 — scelta inaffidabile, a meno che non funzioni tramite un server VPN con una porta non standard.

Shadowsocks e VLESS/XRay: mascheramento sotto il normale traffico HTTPS

VLESS con trasporto XTLS-Reality — a mio avviso, la migliore opzione per la Russia in questo momento. Si finge una normale connessione TLS 1.3 a un sito reale (ad esempio, microsoft.com o apple.com), e il DPI non può distinguerlo dal traffico legittimo.

Shadowsocks è più semplice da configurare, ma meno resistente al probing attivo. Se il provider applica un DPI aggressivo con probing attivo — Shadowsocks possono essere individuati. VLESS/Reality in questo senso è più affidabile.

Entrambi i protocolli funzionano sulla porta 443. Non ha senso utilizzare altre porte.

AmneziaWG: parametri contro il DPI (Jc, Jmin, Jmax, S1, S2, H1-H4)

AmneziaWG è un fork di WireGuard con offuscamento dell'handshake. Sono i parametri di offuscamento a renderlo invisibile al DPI, capace di riconoscere il WireGuard standard.

Parametro	Cosa fa	Valore di lavoro
Jc	Numero di pacchetti spazzatura nell'handshake	3–10
Jmin	Dimensione minima del pacchetto spazzatura (byte)	10–50
Jmax	Dimensione massima del pacchetto spazzatura (byte)	50–1000
S1	Byte aggiuntivi nel primo pacchetto di inizializzazione	0–250
S2	Byte aggiuntivi nel pacchetto di risposta	0–250
H1–H4	Valori Magic Header (devono essere unici)	uint32 casuali

Il server e il client devono utilizzare gli stessi valori di questi parametri — altrimenti la connessione non si stabilirà. L'applicazione Amnezia VPN li genera automaticamente durante la creazione della configurazione. NvoVPN, ad esempio, fornisce configurazioni pronte di AmneziaWG tramite il pannello personale — non è necessario generarle manualmente.

Configurazione manuale passo-passo su diversi dispositivi

Android: importazione della configurazione e inserimento manuale dei parametri

Per WireGuard — scarica l'app ufficiale WireGuard dal Play Store. Crea un tunnel tramite “+” → “Crea da zero” o “Importa da file/QR”. Durante l'inserimento manuale, specifica la chiave privata, l'indirizzo dell'interfaccia, DNS, MTU (1280–1420) e i dati del peer (chiave pubblica del server, endpoint, AllowedIPs, PersistentKeepalive: 25).

Per VLESS — utilizza v2rayNG o NekoBox. Importa tramite la stringa-link vless:// o QR code. Dopo l'importazione, nelle impostazioni del peer verifica che sia specificata la corretta Reality publicKey e shortId.

iPhone/iOS: profili VPN e applicazioni-client

Le impostazioni di sistema iOS supportano solo IKEv2, L2TP e PPTP (quest'ultimo — da non utilizzare, non è sicuro). Percorso: Impostazioni → Generali → VPN e gestione dispositivo → VPN → Aggiungi configurazione VPN.

WireGuard, VLESS e Shadowsocks richiedono un'app separata dall'App Store: WireGuard (ufficiale), Streisand o Shadowrocket per VLESS/Shadowsocks. Shadowrocket costa $2.99 — a pagamento, ma funziona in modo più stabile rispetto alle alternative gratuite.

Windows: client ufficiali e impostazioni di sistema

IKEv2 si configura tramite Pannello di controllo → Rete → Crea connessione → VPN. Per WireGuard — client ufficiale wireguard.com/install. Importa il file .conf tramite “Aggiungi tunnel”.

Dopo la connessione verifica che la rotta 0.0.0.0/0 passi effettivamente attraverso il tunnel:route print nella riga di comando. Se l'indirizzo IPv6 è visibile senza rotta tramite VPN — aggiungi nel AllowedIPs il blocco ::/0.

Mac e Apple TV

Su Mac WireGuard si installa dall'App Store o tramite Homebrew (brew install wireguard-tools). Apple TV non ha un client VPN proprio — si connette solo tramite router (vedi sotto). A partire da tvOS 17 c'è supporto per IKEv2 tramite profili .mobileconfig, ma è uno scenario di nicchia.

Router (OpenWrt/Keenetic) per tutta la rete

Questo è l'unico modo per coprire il VPN su tutti i dispositivi contemporaneamente — Smart TV, console, Apple TV. Su Keenetic: Internet → Altre connessioni → WireGuard → Aggiungi. Inserisci i parametri del tunnel, del peer, specifica MTU e DNS.

Importante: dopo l'aggiornamento del firmware Keenetic o OpenWrt, la configurazione VPN a volte si resetta. Salva una copia di backup della configurazione in un file in anticipo. Su OpenWrt la configurazione di WireGuard si trova in /etc/config/network — puoi fare un backup con scp.

Smart TV e console di gioco tramite router

Non sono necessarie ulteriori azioni sui dispositivi stessi — ricevono internet dal router, che è già nel tunnel. L'unico dettaglio: se il VPN è configurato solo per parte del traffico del router, assicurati che gli indirizzi MAC dei dispositivi necessari rientrino nella "zona VPN" di routing.

Evitare blocchi e rallentamenti: YouTube, Instagram, Telegram e altri

La differenza tra blocco totale e rallentamento (throttling) è importante: con il rallentamento il sito di YouTube è tecnicamente accessibile, ma i video si caricano a 144p. DPI identifica il traffico e riduce la priorità, senza bloccare completamente. Per aggirare sono necessarie esattamente quelle impostazioni che nascondono il tipo di traffico.

Rallentamento di YouTube e quali parametri aiutano

Il rallentamento di YouTube in Russia funziona tramite TSPU (strumenti tecnici per la lotta contro le minacce) — attrezzature di Roskomnadzor lato provider. È in grado di riconoscere il traffico di YouTube anche attraverso alcuni protocolli VPN.

Cosa aiuta: VLESS+Reality sulla porta 443 — il traffico appare come un normale HTTPS verso un sito esterno. AmneziaWG — maschera WireGuard come traffico casuale e rumoroso. Shadowsocks con plugin obfs — meno affidabile, ma funziona in alcuni casi. WireGuard nudo o OpenVPN senza offuscamento TSPU è in grado di gestire.

Instagram, Facebook, Twitter/X — scelta del protocollo

Questi servizi sono completamente bloccati da Roskomnadzor — non sono semplicemente rallentati. Qui qualsiasi tunnel VPN funzionante darà accesso. Ma se il provider blocca il protocollo VPN stesso — sono necessarie opzioni mascherate: VLESS/Reality, Shadowsocks, AmneziaWG. Il classico OpenVPN su 1194 o WireGuard su 51820 può essere bloccato a livello di protocollo.

TikTok e WhatsApp

TikTok nel 2026 in RF funziona in modo instabile — alcuni provider rallentano, altri no. La stessa storia di YouTube: aiuta VLESS/Reality o AmneziaWG, porta 443. WhatsApp è ancora disponibile senza VPN, ma le chiamate a volte vengono interrotte — in tal caso, un VPN con trasporto UDP spesso risolve il problema.

Telegram: VPN contro proxy integrati (MTProto)

Telegram ha supporto integrato per proxy MTProto — è più semplice per molti utenti rispetto alla configurazione manuale di VPN. Ma i proxy MTProto non crittografano tutto il traffico del dispositivo, ma solo quello di Telegram. Se hai bisogno di accesso anche ad altri servizi — VPN è più corretto. Quando scegli un VPN per Telegram, utilizza il protocollo UDP (WireGuard o OpenVPN UDP) — la latenza è più bassa, le chiamate sono di qualità migliore.

Cosa fare se il provider utilizza DPI rigido e Roskomnadzor blocca il protocollo

Procedura da seguire in caso di DPI rigido: prima prova a cambiare la porta a 443. Se non ha funzionato — cambia il protocollo in uno mascherato (VLESS/Reality o AmneziaWG). Se il DPI inizia a bloccare una porta precedentemente funzionante — ruota porte e protocolli. Un buon servizio VPN fornisce diversi endpoint con porte diverse proprio per questo.

In caso di doppio NAT (router dietro router) i tunnel UDP spesso non si attivano — passa a TCP/443. È più lento, ma funziona.

Test di velocità e diagnostica: verifichiamo che la configurazione funzioni

Non ci saranno numeri inventati qui. La velocità dipende dal tuo piano, dal carico del server e dalla distanza da esso. La metodologia corretta è misurare autonomamente e confrontare.

Come misurare la velocità prima e dopo la connessione

Utilizza fast.com o speedtest.net. Fai 3 misurazioni senza VPN, annota la media. Collega il VPN, aspetta 30 secondi, fai altre 3 misurazioni. Confronta. Una perdita di velocità del 10–30% con un buon server VPN in una posizione vicina è normale. Una perdita del 70%+ è un problema con MTU, server o protocollo.

Controllo delle perdite DNS e WebRTC

Subito dopo la connessione, vai su dnsleaktest.com e avvia il test avanzato. Tutti i server DNS devono appartenere al provider VPN o al DNS pubblico scelto (1.1.1.1, 9.9.9.9), ma non al tuo provider. Una perdita di DNS significa che il provider vede le tue richieste, anche se l'IP è nascosto.

Controlla la perdita di WebRTC su browserleaks.com/webrtc. Se nel browser è visibile il tuo IP reale — disabilita WebRTC tramite un'estensione (ad esempio, uBlock Origin con la configurazione appropriata) o in about:config di Firefox.

Impostazione di MTU: sintomi di un valore errato

Il sintomo classico di un MTU errato: ping normale, ma pagine grandi non si caricano o si caricano a metà, i video si bloccano dopo la memorizzazione nella cache. Questo accade perché i pacchetti piccoli (ping) passano, mentre quelli grandi vengono frammentati o persi.

Diagnostica: in Linux/Mac eseguiping -M do -s 1400<IP del server> e riduci la dimensione del pacchetto finché il ping non passa. Aggiungi 28 byte (intestazioni IP+ICMP) — questo è il tuo MTU ottimale. Su Windows:ping -f -l 1400<IP>.

Perché la velocità diminuisce e come risolverlo

Procedura di diagnosi in caso di bassa velocità:

Controlla l'MTU (vedi sopra) — è spesso lui il colpevole.
Cambia da UDP a TCP o viceversa — a volte una delle opzioni passa meglio attraverso il provider.
Cambia server con quello geograficamente più vicino — ogni 100 ms di ping influiscono sulla velocità con TCP.
Controlla il carico della CPU del router — WireGuard in modalità software su un router debole si scontra con la CPU a velocità superiori a 50 Mbit/s.

Se tutto ciò non ha aiutato — il problema è probabilmente in un server VPN sovraccarico o nel fatto che il provider sta attivamente limitando proprio questo tipo di traffico. Allora — cambia protocollo o server.

Quale MTU impostare per WireGuard per non ridurre la velocità?

Inizia con 1420 — questo è il valore standard per la maggior parte delle reti. Se noti interruzioni o caricamenti lenti delle pagine con un ping normale, riduci di 10: 1410, 1400 e così fino a 1280. Le reti mobili (4G/5G) e le reti con DPI spesso richiedono 1360 o inferiore — gli operatori aggiungono le proprie intestazioni ai pacchetti, riducendo l'MTU effettivo. Regola: trova la dimensione minima del ping senza perdite — questo è il tuo MTU.

Quale protocollo aggira meglio il DPI e i blocchi di Roskomnadzor?

Nelle condizioni della Russia del 2026 — VLESS+Reality e AmneziaWG. Entrambi si mascherano come traffico TLS 1.3 normale, e il DPI non può distinguerli in modo affidabile da HTTPS legittimo. WireGuard nudo sulla porta standard viene rilevato rapidamente — ha un handshake caratteristico. OpenVPN senza tls-crypt e offuscamento è anch'esso visibile. Se il provider applica un sondaggio attivo (invia pacchetti di prova a indirizzi sospetti) — VLESS/Reality si comporta meglio di Shadowsocks.

È possibile configurare manualmente una VPN su iPhone senza un'app?

Sì, ma solo IKEv2/IPsec e il vecchio L2TP — tramite Impostazioni → Generali → VPN. Questi sono protocolli integrati in iOS. WireGuard, VLESS, Shadowsocks e AmneziaWG richiedono un'app separata dall'App Store: WireGuard (gratuito), Shadowrocket ($2.99) o Streisand. Senza un'app, questi protocolli non funzionano su iOS — limitazione del sistema operativo.

Perché la VPN manuale funziona più lentamente dell'app?

Spesso — MTU errato. Al secondo posto: hai scelto TCP dove l'app utilizzava UDP (TCP aggiunge overhead). La terza ragione — server sovraccarico o lontano. La quarta — su un router debole la CPU non riesce a gestire la crittografia. Controlla in quest'ordine: MTU → UDP/TCP → ping verso il server → carico della CPU.

Quale porta scegliere se il provider limita la VPN?

La porta 443 TCP — è la prima scelta. Viene utilizzata da tutto il traffico HTTPS di internet, e il provider non può bloccarla senza disattivare metà dei siti. Questo la rende la più resistente alla filtrazione. UDP/443 funziona anche ed è più veloce di TCP — alcuni provider non filtrano UDP su 443. Se anche questo viene bloccato — il problema non è nella porta, ma nel protocollo stesso: è necessaria l'offuscazione (VLESS/Reality, AmneziaWG).

È legale utilizzare una VPN con configurazione manuale?

L'uso di una VPN per proteggere i dati personali e accedere a servizi legali non è penalmente perseguibile per i privati in Russia. È opportuno chiarire l'aspetto legale in relazione alla tua situazione specifica con un esperto — noi non siamo avvocati e non forniamo garanzie legali. Questo articolo riguarda esclusivamente gli aspetti tecnici della configurazione della VPN per scopi legali.

Le impostazioni manuali di best vpn ben scelte non sono un'unica configurazione universale, ma un insieme di valori per un provider e un dispositivo specifici. Inizia con WireGuard MTU 1420 e PersistentKeepalive 25, controlla le perdite DNS, misura la velocità. Se il provider blocca — passa a VLESS/Reality o AmneziaWG con porta 443. Questo percorso dal semplice al complesso offre risultati stabili.