Shadowsocks: configurazione e connessione nel 2026

Se hai ricevuto una configurazione dal provider o hai trovato un'istruzione in chat, ma non capisci comunque dove inserire cosa — questo materiale è per te. Shadowsocks: configurazione e connessione nella pratica si rivelano più semplici di quanto sembri, ma ci sono diversi punti in cui le persone si bloccano costantemente. Analizziamo tutto in ordine: dalla struttura della configurazione alla diagnosi, quando la connessione è attiva ma i siti non si aprono.

Che cos'è Shadowsocks e a cosa serve per bypassare i blocchi

Shadowsocks non è un VPN nel senso classico. È un proxy crittografato basato su SOCKS5, che maschera il traffico come un normale HTTPS. Dal punto di vista del provider e dell'hardware DPI — è semplicemente una richiesta web, nulla di sospetto.

È proprio per questo che è così difficile da bloccare a livello di protocollo. Roskomnadzor può bloccare un indirizzo IP specifico del server, ma scoprire "questo è Shadowsocks" per un'ispezione profonda del traffico è molto più difficile che catturare OpenVPN o WireGuard.

Cosa distingue Shadowsocks da un VPN classico

Un VPN crea un tunnel crittografato per tutto il traffico del dispositivo a livello di rete. Shadowsocks funziona in modo diverso — come un proxy. Cioè solo le applicazioni che sanno lavorare con SOCKS5 o HTTP-proxy passeranno automaticamente attraverso di esso. Nei client mobili questo si risolve tramite un'interfaccia TUN, sul desktop — tramite un proxy di sistema.

Conseguenza pratica: se hai avviato Shadowsocks su Windows in modalità PAC, il tuo client torrent o Teams possono tranquillamente andare direttamente, bypassando il proxy. Non è un bug — è così che funziona l'architettura.

Come Shadowsocks maschera il traffico e bypassa il DPI

L'HTTPS standard appare come un flusso di byte crittografati con handshake TLS. Shadowsocks con crittografia chacha20-ietf-poly1305 genera un'immagine simile — un flusso di dati apparentemente casuale senza intestazioni caratteristiche dei protocolli VPN. Il DPI non vede firme evidenti, quindi non c'è nulla da bloccare.

Ma nel 2026 i provider in Russia hanno imparato a identificare il traffico "simile a Shadowsocks" in modo euristico — in base all'entropia del flusso e ai modelli di connessione. Senza un plugin di offuscamento, SS viene sempre più bloccato. Di questo parleremo più avanti.

Quando Shadowsocks funziona meglio di WireGuard e OpenVPN

Il puro OpenVPN viene rilevato immediatamente — ha un caratteristico handshake TLS con certificati e porte noti. Anche WireGuard ha modelli UDP riconoscibili, anche se è più difficile da rilevare. Shadowsocks senza offuscamento supera la media del DPI meglio di entrambi.

Ma VLESS/XRay con Reality e Amnezia con offuscamento — sono il livello successivo. In condizioni di blocchi aggressivi del 2026, sono più resistenti. SS è una buona soluzione per la maggior parte delle attività, ma non è una panacea. Servizi come NvoVPN offrono diversi protocolli contemporaneamente, e se SS inizia a dare problemi con un provider specifico, puoi passare senza cercare un nuovo servizio.

Cosa preparare prima della configurazione

Prima di aprire il client, è necessario capire cosa hai tra le mani. La configurazione di Shadowsocks è composta da quattro parametri obbligatori: indirizzo del server, porta, metodo di crittografia e password. Tutto qui.

Dove trovare una configurazione funzionante (ss:// link, codice QR, JSON)

Se utilizzi un servizio VPN a pagamento, la configurazione viene fornita nel tuo pannello personale. Di solito è o un link ss://, o un codice QR (che è la stessa cosa, solo in forma diversa), o un file JSON per l'importazione manuale.

Il link appare più o meno così:ss://[email protected]:8388#MyServer. La parte prima di @ è composta dal metodo di crittografia e dalla password codificati, dopo — l'indirizzo del server e la porta, dopo # — il nome del profilo.

Il codice QR è lo stesso link, solo in forma di immagine. La maggior parte dei client mobili è in grado di leggerlo con la fotocamera direttamente dall'interfaccia.

Quali parametri sono importanti: server, porta, metodo di crittografia, password

Il metodo di crittografia è quello su cui si commettono più errori. Raccomandochacha20-ietf-poly1305 — funziona ottimamente sui dispositivi mobili, è efficiente in termini di risorse di elaborazione. Sul desktop funziona normalmenteaes-256-gcm.

Evita rc4-md5, table e altri metodi obsoleti. Non sono sicuri, non resistono bene agli attacchi e i moderni DPI sono in grado di identificarli meglio rispetto ai nuovi cifrari AEAD.

La porta è una storia a parte. Se il provider blocca porte non standard (tipico per reti aziendali e mobili), funzionerà solo la 443. Scegli un server o una configurazione con supporto per la 443, se ti trovi spesso in reti limitate.

Scelta del plugin: simple-obfs e v2ray-plugin contro il DPI

I plugin di offuscamento sono uno strato aggiuntivo di mascheramento sopra Shadowsocks. Simple-obfs imita il traffico HTTP o TLS. V2ray-plugin è più avanzato, in grado di fare WebSocket + TLS, che è praticamente indistinguibile da un normale sito HTTPS.

In Russia nel 2026 senza plugin SS funziona in modo instabile con molti provider — soprattutto con la "grande triade". Se la configurazione senza offuscamento non funziona o funziona in modo instabile — cerca subito un server con v2ray-plugin in modalità websocket+tls. Simple-obfs è già considerato una soluzione obsoleta.

Configurazione di Shadowsocks su Android

Su Android è il più semplice — ci sono diversi client validi, e sono gratuiti.

Installazione del client (shadowsocks-android / v2rayNG)

Il client principale —shadowsocks-android dal sviluppatore «Max Lv». Cerca su Google Play o scarica l'APK da GitHub (repository shadowsocks/shadowsocks-android). La versione al momento della scrittura è 5.3.x.

Se hai bisogno di un solo client sia per SS che per VLESS/XRay — prendiv2rayNG. Supporta Shadowsocks insieme ad altri protocolli. È comodo se hai più configurazioni di diversi tipi.

Importa la configurazione tramite ss:// e QR-code

In shadowsocks-android: premi «+» nell'angolo in basso a destra → «Scansiona QR-code» o «Importa da appunti». Se hai un link ss:// — copialo, vai nell'app e premi importa da appunti. L'app riconoscerà automaticamente il formato.

Per l'inserimento manuale: «+» → «Inserisci manualmente» → compila i campi Server, Remote Port, Password, Encryption Method. Il resto può essere lasciato di default.

Dopo aver aggiunto il profilo, premi su di esso per selezionarlo come attivo, poi premi sull'icona dell'aeroplano nell'angolo in basso a destra. L'app richiederà il permesso per la connessione VPN — accetta.

Impostazione del plugin di offuscamento e verifica della connessione

Se la configurazione utilizza un plugin: nelle impostazioni del profilo trova il campo «Plugin» → scegli v2ray-plugin o simple-obfs → inserisci i parametri del plugin (di solito è una stringa del tipoobfs=websocket;host=example.com).

Dopo la connessione, controlla l'IP tramite il browser — vai su 2ip.ru o whoer.net. Se viene visualizzato l'indirizzo del server e non il tuo indirizzo di casa — tutto funziona.

Impostazione di Shadowsocks su iPhone e iOS

Qui inizia il dolore. Non c'è un buon client gratuito per Shadowsocks nell'App Store russo. Questo è un fatto, non un'opinione.

Quali client sono disponibili nell'App Store (Shadowrocket, Potatso)

Shadowrocket — la migliore opzione. Costa $2.99, supporta SS, VLESS, Trojan e molti altri protocolli. Si acquista una sola volta, funziona senza abbonamento. Il problema è che non è disponibile nell'App Store russo a causa dei blocchi.

Potatso Lite — gratuito, ma più limitato. Se è disponibile nella tua regione — prova per iniziare. Supporta le configurazioni SS di base.

Per installare Shadowrocket è necessario un Apple ID con regione americana o europea. Il modo più pulito è creare un Apple ID separato per un'altra regione, senza cambiare quello principale. L'accesso familiare non funziona per le app acquistate in un'altra regione.

Importazione della configurazione e gestione delle restrizioni regionali dell'App Store

Dopo aver installato Shadowrocket: premi «+» nell'angolo in alto a destra → scegli il tipo «SS» → incolla il link ss:// nel campo URI o compila i campi manualmente. Il QR-code viene scansionato tramite il pulsante scanner accanto al campo URI.

Se hai un link ss:// negli appunti — Shadowrocket di solito offre di importarlo all'avvio. È più comodo rispetto all'inserimento manuale.

Attivazione del profilo VPN e delle autorizzazioni iOS

Alla prima connessione, iOS mostrerà una richiesta per aggiungere la configurazione VPN. Premi «Consenti» e inserisci il codice di accesso del dispositivo. Senza questa autorizzazione, il proxy non funzionerà.

Dopo la connessione, apparirà un'icona VPN nella barra di stato. Nelle impostazioni iOS (Impostazioni → VPN e gestione dispositivo) puoi vedere la connessione attiva e gestirla indipendentemente dall'app.

Impostazione di Shadowsocks su Windows e Mac

Sul desktop, SS funziona come proxy locale. Questo è diverso da una VPN — è importante capirlo fin dall'inizio.

Shadowsocks per Windows: client e proxy di sistema

Scarica il client ufficiale da GitHub (repository shadowsocks/shadowsocks-windows). Non è necessaria l'installazione — basta estrarre e avviare Shadowsocks.exe.

Dopo l'avvio, apparirà un'icona nella tray. Clic destro → «Servers» → «Add server» → compila i campi. Oppure: «Importa URL dagli appunti», se hai un link ss://.

Per attivare: clic destro sull'icona → «System Proxy» → attiva. Questo configurerà automaticamente il proxy di sistema di Windows. I browser (Chrome, Edge) lo rileveranno immediatamente. Altre applicazioni — dipende da se possono leggere le impostazioni del proxy di sistema.

Come alternativa —v2rayN, che supporta sia SS che VLESS in un'unica interfaccia.

ShadowsocksX-NG per macOS

ShadowsocksX-NG — client standard per Mac. Scarica da GitHub (shadowsocks/ShadowsocksX-NG), installalo come un'app normale. Al primo avvio, macOS chiederà il permesso di avviarlo — consenti nelle Impostazioni di sistema → Privacy e sicurezza.

Aggiunta del server: icona nella barra dei menu → «Apri ShadowsocksX-NG» → «Server» → «Preferenze del server» → pulsante «+». Oppure importazione tramite «Importa URL del server dagli appunti».

Modalità proxy globale e modalità basata su regole (PAC)

Modalità Globale — tutto il traffico passa attraverso il proxy. Modalità PAC — solo i siti dall'elenco. PAC è più comodo per il lavoro quotidiano: i siti russi vengono aperti direttamente, quelli bloccati — tramite SS.

Ma PAC ha una trappola: le applicazioni che non utilizzano il proxy di sistema (molte applicazioni native di macOS, alcuni giochi, client torrent) andranno direttamente indipendentemente dalla modalità. Se è necessario instradare tutto il traffico — utilizzare Global o configurare tramite Proxifier.

Bypassare i blocchi di YouTube, Instagram, Telegram e altri servizi

Questo è ciò per cui la maggior parte configura Shadowsocks. Vediamo cosa funziona realmente.

Bypassare il rallentamento di YouTube tramite Shadowsocks

YouTube in Russia viene rallentato a livello del provider — non è un blocco completo, ma il caricamento a 480p con buffering. SS risolve il problema, poiché il traffico passa attraverso un server esterno, bypassando il DPI "intelligente" del provider.

Per lo streaming, è importante la velocità del server stesso. Chacha20-ietf-poly1305 funziona più velocemente di aes-256-gcm su dispositivi senza accelerazione hardware AES — i telefoni mobili in primo luogo. Per YouTube in 4K è necessario un minimo di 25+ Mbit/s dal server.

Accesso a Instagram, Facebook, Twitter/X

Instagram e Facebook (Meta) sono bloccati da una decisione del tribunale dal 2022. Twitter/X funziona in modo instabile. Con Shadowsocks configurato, si aprono nel browser normale o nelle applicazioni native — il traffico passa attraverso un server esterno che non vede questi blocchi.

Nota: su Android e iOS, le applicazioni mobili di Instagram e Facebook utilizzano il proxy di sistema, quindi è sufficiente attivare il client SS. Su Windows in modalità PAC, controlla che i domini meta.com e instagram.com siano nell'elenco delle regole.

Stabilità di Telegram e WhatsApp tramite proxy

Telegram in Russia viene occasionalmente interrotto da alcuni provider — non completamente, ma con ritardi e problemi con i media. SS stabilizza la connessione. WhatsApp funziona senza blocchi, ma tramite SS è più veloce su alcuni operatori mobili con QoS aggressivo.

Se SS con offuscamento non riesce a gestire un provider specifico — è un segnale per passare a VLESS/XRay con Reality o Amnezia. Lì c'è un altro livello di mascheramento.

Cosa fare se Shadowsocks non si connette

La domanda più comune. Analizziamo passo dopo passo.

La connessione c'è, ma i siti non si aprono

La prima cosa da controllare è il metodo di crittografia. Se nel file di configurazione è indicato aes-256-cfb, mentre il server è impostato su chacha20-ietf-poly1305, la connessione si stabilirà formalmente, ma il traffico sarà spazzatura. Il client non sempre lo comunica esplicitamente.

Checklist in questo caso:

• Il metodo di crittografia nel client corrisponde esattamente a quello del server
• La password è stata copiata correttamente (senza spazi extra)
• Su Windows/Mac è attivato il proxy di sistema (non basta che il client sia avviato)
• Il browser non utilizza le proprie impostazioni proxy che sovrascrivono quelle di sistema

Il provider blocca la porta o il DPI taglia il traffico

Se SS non si connette affatto — prova prima la porta 443. È bloccata da pochi, perché su di essa funziona tutto l'internet HTTPS. Se il servizio supporta porte diverse, 443 è la prima scelta per reti problematiche.

Se si connette, ma si interrompe dopo pochi minuti — è il DPI in azione. Il provider identifica il traffico in modo euristico e interrompe la connessione. La soluzione è una sola: plugin di offuscamento. V2ray-plugin in modalità websocket+tls sulla porta 443 — è un traffico praticamente invisibile per la maggior parte dei sistemi DPI.

Se nemmeno questo aiuta — è ora di passare a VLESS/XRay (Reality) o Amnezia. Alcuni provider bloccano già qualsiasi traffico "sospetto" indipendentemente dall'offuscamento.

Bassa velocità e interruzioni della connessione

Bassa velocità — nel 90% dei casi è un problema del server stesso o del percorso verso di esso, non delle impostazioni del client. Controlla il ping verso il server tramite il test integrato nel client o tramite terminale.

Le interruzioni su internet mobile sono spesso legate al passaggio tra torri o al passaggio Wi-Fi ↔ LTE. Attiva l'opzione «keepalive» o «heartbeat» nelle impostazioni del client, se disponibile. In shadowsocks-android questo parametro è «TCP Fast Open» e «UDP Relay» — prova a disattivarli se ci sono instabilità.

Un caso a parte — Smart TV e Apple TV. Non esiste un client SS nativo per loro. L'unica opzione funzionante è la configurazione sul router tramite OpenWrt o analoghi con il pacchetto shadowsocks-libev. È un argomento di materiale separato, ma è importante sapere che bypassare il router non risolve il problema.