Il tuo server VPN a casa: configurazione di WireGuard nel 2026
Come installo un server VPN veloce nella rete domestica: configurazione di WireGuard nel 2026 La domanda "come installo un server VPN veloce nella rete domestica" la sento regolarmente dai lettori, e quasi sempre dietro di essa c'è confusione: la persona vuole accedere alla propria rete domestica me
Come installo un server VPN veloce nella rete domestica: configurazione di WireGuard nel 2026
La domanda "come installo un server VPN veloce nella rete domestica" la sento regolarmente dai lettori, e quasi sempre dietro di essa c'è confusione: la persona vuole accedere alla propria rete domestica mentre è in viaggio e aggirare le restrizioni contemporaneamente. Questi sono compiti diversi, e in questo articolo esaminerò entrambi onestamente — senza marketing e senza promesse che sono tecnicamente irrealizzabili. In seguito — comandi specifici, configurazioni e numeri, non consigli astratti "basta installare un VPN".
Cosa otterrai da un server VPN domestico — e cosa non otterrai
Iniziamo con ciò che quasi tutti confondono. Un server VPN domestico è un tunnel nella tua abitazione. Fornisce accesso alla tua rete locale e al tuo indirizzo IP domestico. Non fornisce internet libero senza restrizioni, perché tutto il traffico esce comunque attraverso lo stesso provider, con gli stessi filtri e lo stesso TSPU sulla linea.
Se sei seduto in un caffè e ti connetti tramite WireGuard al router di casa, e poi apri YouTube — il video si bloccherà proprio come se fossi a casa con il telefono direttamente. Instagram, Facebook e Twitter/X rimarranno comunque inaccessibili senza impostazioni aggiuntive. Il tuo traffico è fisicamente passato attraverso un provider russo andata e ritorno, e non c'è alcuna magia qui.
Tuttavia, per un altro insieme di compiti, il server domestico funziona alla grande. NAS con foto e film, telecamere di sorveglianza, client torrent che scarica mentre non sei a casa, RDP al computer di lavoro, stampante in rete — tutto questo si apre esattamente come se fossi seduto nel tuo appartamento.
C'è anche un terzo scenario — accesso a internet proprio con l'IP domestico. È necessario quando la banca o i servizi pubblici sono legati a un indirizzo specifico, o quando il VPN di lavoro consente solo IP "fidati". Qui il server domestico risolve il compito in modo ideale: accedi alla rete letteralmente dal tuo appartamento, semplicemente da remoto.
| Compito | Soluzione |
|---|---|
| Accesso a NAS, telecamere, torrent a casa | Server VPN domestico (WireGuard) |
| Uscire in rete con l'IP domestico (banca, servizi pubblici) | Server VPN domestico, tutto il traffico attraverso casa |
| Aggirare il blocco di YouTube/Instagram/chiamate Telegram | VPS all'estero o servizio pronto (ad esempio, NvoVPN) |
| Entrambi contemporaneamente | Due profili nel client, cambio a seconda del compito |
Se il tuo obiettivo principale è rimuovere il rallentamento di YouTube e aprire Instagram, il server domestico non ti aiuterà in linea di principio, per quanto tu lo configuri. È necessario un nodo al di fuori della rete filtrata. Molti alla fine mantengono uno schema ibrido: un profilo WireGuard porta a casa, l'altro a un server esterno o a un servizio come NvoVPN, e si alternano tra di essi a seconda di ciò che serve in quel momento.
Scelta dell'hardware: su cosa sollevare il server
Qui non conta tanto la potenza del processore in generale, quanto la presenza di accelerazione hardware per la crittografia. WireGuard utilizza ChaCha20-Poly1305 — questo algoritmo viene calcolato ottimamente in modo software anche su deboli core ARM, a differenza di AES, che ha bisogno del blocco AES-NI per non sovraccaricare completamente il processore. Pertanto, un router economico con processore MIPS, che a malapena gestisce 20-50 Mbit/s su OpenVPN, su WireGuard fornisce tranquillamente molte più velocità — semplicemente perché la crittografia è più leggera.
Router: Keenetic, MikroTik, ASUS con firmware Merlin, qualsiasi OpenWrt — tutti supportano WireGuard di default o tramite pacchetto. Vantaggio — non è necessario un dispositivo separato, svantaggio — se la connessione è più veloce di 100-150 Mbit/s, un processore debole del router potrebbe diventare un collo di bottiglia prima della connessione.
Raspberry Pi 4 o 5 — la mia opzione predefinita per la maggior parte dei lettori. Costa poco, consuma 5-7 W sotto carico, e il core ARM Cortex-A72/A76 con WireGuard funziona senza problemi a qualsiasi velocità di internet domestico.
Un vecchio laptop o mini-PC con Intel N100 — prendi se vuoi un margine di velocità per il futuro o prevedi di far girare attraverso il server qualcos'altro oltre al VPN (Plex, Home Assistant). N100 — è già AES-NI e un notevole margine di prestazioni.
NAS di Synology o QNAP, così come Keenetic con un'unità USB — è anche un'opzione valida, se l'hardware è già acceso 24 ore su 24. Non è necessario avviare un altro dispositivo specificamente per il VPN.
Se hai già un server domestico con Docker — basta sollevare un contenitore WireGuard (ad esempio, linuxserver/wireguard) accanto agli altri servizi. Questo è il modo più veloce per chi è già nel tema.
Il problema principale: IP grigio e NAT del provider
Ecco su cosa si rompono realmente la maggior parte delle installazioni domestiche, e di cui quasi nessuno scrive in dettaglio. Controllare il proprio IP — 2 minuti: accedi all'interfaccia web del router, controlla l'indirizzo IP esterno nello stato WAN, poi apri 2ip.ru da qualsiasi dispositivo nella stessa rete. Se gli indirizzi coincidono — hai un IP bianco, e il port forwarding funzionerà. Se non coincidono — sei dietro CG-NAT, e lo schema classico con il port forwarding non funzionerà mai, fisicamente.
CG-NAT (Carrier-Grade NAT) — è quando il provider nasconde centinaia dei suoi abbonati dietro un unico IP esterno. Questo si verifica particolarmente spesso con gli operatori mobili e con alcuni provider domestici su nuove tariffe. In questo caso, la connessione in entrata dall'esterno al tuo router semplicemente non arriva — viene bloccata dal NAT sul lato del provider, e non puoi influenzare nulla da parte tua.
La prima opzione — ordinare un IP bianco statico dal provider. Di solito costa 100-200 ₽ al mese in aggiunta alla tariffa. Se il provider offre questo — è la soluzione più semplice e affidabile.
Se l'IP è dinamico, ma bianco (cioè cambia, ma non è dietro CG-NAT) — utilizza DDNS: DuckDNS, No-IP o il servizio DDNS integrato in Keenetic e nella maggior parte dei router moderni. Il client si connette non all'IP, ma a un dominio come mydomain.duckdns.org, che si aggiorna automaticamente al cambio dell'indirizzo.
Se il provider ti tiene dietro CG-NAT e non puoi acquistare un IP bianco (o non vuoi pagare), un percorso funzionante è utilizzare reti overlay come Tailscale, Headscale sollevato autonomamente, o ZeroTier. Entrambi i dispositivi — sia il server domestico che il tuo telefono — iniziano autonomamente una connessione in uscita al server di coordinamento, e lui li collega. Non è necessaria alcuna connessione in entrata al router.
La seconda opzione funzionante — un VPS intermediario economico, condizionatamente per 200-300 ₽ al mese. Il server domestico si connette autonomamente al VPS con una connessione in uscita (in questa direzione il CG-NAT non interferisce), e il client si connette già al VPS, che reindirizza il traffico a casa. Questo schema risolve anche il problema del cambio di IP, se il VPS non è in Russia, e ottieni anche la possibilità di far uscire il traffico internet attraverso un indirizzo estero.
Separatamente su UPnP: la tentazione di attivarlo sul router, in modo che le porte vengano aperte automaticamente, è grande, ma è un rischio — qualsiasi dispositivo nella rete (inclusa una telecamera cinese hackerata) può aprire autonomamente una porta verso l'esterno senza il tuo consenso. Consiglio sempre di tenere UPnP disattivato e di configurare il port forwarding manualmente.
Configurazione passo-passo di WireGuard: server, chiavi, client
Dopo — dettagli per Raspberry Pi o qualsiasi server su Ubuntu/Debian, che rispondono alla domanda come installo un server VPN veloce nella rete domestica passo dopo passo.
Installazione in tre comandi:
sudo apt update&& cd /etc/wireguard
Generazione delle chiavi del server:
umask 077> server_public.key
Per ogni cliente (telefono, laptop) — una coppia di chiavi con lo stesso comando, nomi di file separati.
Configurazione del server, /etc/wireguard/wg0.conf:
[Interface]<server_private.key><client_public.key>
Address — è l'indirizzo del tunnel VPN, non confondetelo con l'indirizzo della rete domestica. PostUp/PostDown si occupano del NAT — senza di essi il cliente si connetterà, ma non avrà internet e accesso alla rete. Questa, tra l'altro, è l'errore più comune: wg show mostra un handshake riuscito, ma il traffico non va da nessuna parte, perché si è dimenticati di abilitare ip_forward:
echo 'net.ipv4.ip_forward=1' | sudo tee -a /etc/sysctl.conf
Configurazione del cliente — qui c'è una biforcazione che confonde molti. Se in AllowedIPs si specifica 0.0.0.0/0, tutto il traffico del cliente, incluso il normale surf, passerà attraverso il tunnel domestico — è più lento, ma si ottiene un IP domestico all'esterno. Se si specifica solo la propria sottorete domestica, ad esempio 192.168.1.0/24, l'internet del cliente va direttamente, e attraverso il tunnel passa solo il traffico verso NAS e telecamere — notevolmente più veloce, ma senza l'effetto "IP domestico".
[Interface]<client_private.key><server_public.key>
Per il telefono la configurazione viene effettuata tramite QR code: qrencode -t ansiutf8< client1.conf lo stampa direttamente nel terminale, poi si scansiona con l'app WireGuard su Android o iPhone. Su Windows e macOS — importazione del file .conf nel client ufficiale WireGuard, letteralmente due clic.
Con Smart TV e Apple TV è più complicato — non c'è un client WireGuard nativo e non è previsto. L'unico modo funzionante: alzare un client sul router e portare la TV nella sottorete che passa attraverso il tunnel, oppure distribuire Wi-Fi da un dispositivo dove è già configurato il VPN.
Avvio automatico al riavvio:
sudo systemctl enable wg-quick@wg0
Protocolli alternativi: quando WireGuard non è adatto
Qui c'è un importante aspetto tecnico che quasi nessuno spiega. WireGuard ha un pacchetto di handshake molto caratteristico — una struttura fissa che i sistemi DPI, inclusi i firewall, sanno riconoscere. Sulla Wi-Fi domestica il tunnel si alza senza problemi, mentre con 4G alcuni operatori mobili non riescono a stabilire la connessione — l'operatore taglia il pacchetto per firma.
Per lo scenario "server all'estero più bypass delle restrizioni" questo è critico, e allora si ricorre a modifiche: AmneziaWG aggiunge byte spazzatura e cambia la firma dei pacchetti, rimanendo essenzialmente lo stesso WireGuard all'interno. VLESS/XRay maschera il traffico come un normale HTTPS, indistinguibile dall'accesso a qualsiasi sito. Shadowsocks fa qualcosa di simile, ma è più semplice e in alcune parti più prevedibile per il DPI.
Per accedere esattamente alla rete domestica all'interno del paese, di solito non è necessaria la mascheratura — il traffico è già locale, nessuno lo blocca per il motivo "questo è un VPN per l'appartamento". Il problema con la rilevazione dell'handshake è attuale proprio quando si va all'esterno attraverso WireGuard, oltre i confini del paese.
| Protocollo | Velocità | Resistenza al DPI | Difficoltà di configurazione |
|---|---|---|---|
| WireGuard | Alta | Bassa (handshake riconoscibile) | Bassa |
| OpenVPN (TCP/443) | Media | Media | Media |
| IKEv2/IPsec | Alta | Media | Bassa (integrata nel sistema operativo) |
| Shadowsocks | Media-alta | Alta | Media |
| VLESS/XRay | Media-alta | Molto alta | Alta |
| AmneziaWG | Alta | Alta | Media |
IKEv2/IPsec è integrato in iOS e Windows a livello di sistema e resiste particolarmente bene al passaggio tra Wi-Fi e rete mobile senza interruzione del tunnel: questo è un vantaggio per uno smartphone che cambia rete continuamente.
Perché il VPN domestico rallenta e come accelerarlo
Il reclamo più comune dopo la configurazione: "ho installato internet in gigabit, ma tramite VPN riesco a malapena a 10 Mbit". La causa è quasi sempre la stessa: hai dimenticato la fisica della tua connessione.
Quando scarichi un file tramite VPN domestica, i dati vanno prima su internet al tuo server domestico e poi il server te li restituisce attraverso lo stesso tunnel. Quindi non ti scontri con la velocità di download a casa, ma con la velocità di upload: e per la maggior parte dei piani in Russia, questa è di gran lunga inferiore al download ed è asimmetrica. Se hai un upload di 30 Mbit/s, tramite VPN domestica non supererai mai i 30 Mbit/s, indipendentemente dall'hardware e dal protocollo.
Controllarlo è facile: vai su speedtest.net dal computer di casa direttamente, senza VPN, e guarda il numero di Upload. Questo è il tuo reale limite per il download attraverso il tunnel dall'esterno.
Il secondo colpevole comune è il processore del server. Esegui htop su Raspberry Pi o sul router durante il trasferimento attivo di dati: se un core raggiunge il 100%, sei al limite della CPU, non della rete: in tal caso, passa da OpenVPN a WireGuard o utilizza hardware più potente.
La terza causa è l'MTU. Se i siti si aprono normalmente, ma il download di file di grandi dimensioni o il caricamento di pagine pesanti si interrompe, quasi sempre il problema è nell'MTU del tunnel. Per WireGuard spesso aiuta impostare l'MTU a 1420 invece del standard 1500 nella configurazione dell'interfaccia, perché le intestazioni di WireGuard consumano parte del pacchetto.
Per misurare la velocità reale del tunnel senza l'influenza del provider internet, installa iperf3 sul server e sul client:
iperf3 -s # sul server
Questo mostrerà di cosa è realmente capace il tunnel tra i tuoi dispositivi, separatamente da ciò che accade su internet all'esterno. Non servono "risultati di test" inventati: misura tu stesso, avrai il tuo numero specifico.
Sicurezza del server domestico: cosa non si deve permettere
Avviando un server VPN, hai letteralmente aperto una porta nella tua casa da internet. La compromissione di una chiave significa accesso al NAS con le foto, alle telecamere e a tutti i dispositivi IoT contemporaneamente. Prendilo sul serio.
- Non aprire mai SSH all'esterno sulla porta standard 22 e il pannello web del router: solo attraverso il tunnel VPN, non direttamente da internet.
- Utilizza l'accesso con chiavi invece delle password, installa fail2ban su SSH, cambia la porta standard con una non standard.
- Assegna VLAN diverse ai client VPN e ai dispositivi intelligenti o almeno una rete ospite: la compromissione della TV non dovrebbe dare accesso al NAS.
- Mantieni i log delle connessioni al minimo: per il debug è sufficiente wg show, la registrazione dettagliata continua aumenta solo il rischio in caso di fuga del server stesso.
- Aggiorna regolarmente WireGuard e il firmware del router: è una porta aperta su internet e le vulnerabilità vengono chiuse con patch.
- Sul client configurakill switchin modo che, in caso di interruzione del tunnel, il traffico non fuoriesca in chiaro bypassando la VPN.
Riuscirò a bypassare il blocco di YouTube, Instagram o Twitter/X tramite un server VPN a casa?
No. Il tuo traffico esce su internet attraverso lo stesso provider domestico e rientra sotto gli stessi filtri e rallentamenti che ci sarebbero senza VPN. Un server domestico risolve il problema dell'accesso alla rete domestica e all'IP domestico, non il bypass dei blocchi. Per questo è necessario un nodo al di fuori della rete filtrata: un VPS all'estero o un servizio pronto come NvoVPN. Molti hanno entrambe le opzioni: un profilo a casa per NAS e telecamere, un profilo su un server esterno per YouTube e Instagram, passando da uno all'altro a seconda delle necessità.
Quale protocollo scegliere per un VPN domestico: WireGuard o OpenVPN?
Per accedere alla rete domestica, quasi sempre è meglio WireGuard: minore carico sulla CPU, stabilisce la connessione più velocemente, resiste meglio al cambio di rete sul telefono. OpenVPN ha senso se è importante mascherare il traffico in modalità TCP sulla porta 443 o se il dispositivo client non supporta WireGuard. Tieni presente che WireGuard ha una firma di handshake riconoscibile e su alcuni operatori mobili la connessione tramite 4G potrebbe non stabilirsi: in tal caso, vale la pena considerare AmneziaWG o VLESS/XRay.
Ho un IP grigio dal provider. Posso comunque attivare un VPN a casa?
Sì, ma non con lo schema classico di port forwarding: con CG-NAT non funzionerà fisicamente. Ci sono tre modi: ordinare un IP pubblico dal provider (di solito 100-200 ₽ al mese), utilizzare una rete overlay come Tailscale, Headscale o ZeroTier, dove entrambi i nodi iniziano autonomamente la connessione in uscita, oppure affittare un VPS economico come intermediario, a cui il server domestico si connette da solo, e il client si connette già al VPS. Maggiori dettagli nella sezione sull'IP grigio e CG-NAT sopra.
Perché la velocità attraverso il mio VPN domestico è molto più bassa rispetto a senza di esso?
La principale ragione è che sei limitato dalla velocità di upload della tua connessione domestica: scaricando un file tramite VPN, prima lo porti nel tuo appartamento, e poi l'appartamento lo restituisce a te all'esterno. Se l'upload è di 30 Mbit/s, non sarà mai più veloce di 30 Mbit/s, indipendentemente dal protocollo. La seconda ragione è un processore debole del server senza crittografia hardware. La terza è un MTU errato. Controlla in ordine: misura l'upload a casa su speedtest, guarda htop sul server durante il trasferimento, controlla l'MTU nella configurazione dell'interfaccia.
È possibile configurare un server VPN direttamente sul router, senza un dispositivo separato?
Sì, se il router supporta: Keenetic, MikroTik, ASUS con firmware Merlin, qualsiasi OpenWrt. Il vantaggio di questa soluzione è che non funziona un dispositivo extra 24 ore su 24. Lo svantaggio è la prestazione: i router economici con processori deboli soffrono molto nella crittografia, specialmente su OpenVPN. Se la connessione domestica è più veloce di 100 Mbit/s, è meglio spostare il server su Raspberry Pi o un mini-PC con N100.
Come collegare Smart TV, Apple TV o console di gioco a un VPN domestico?
Non ci sono client nativi WireGuard su questi dispositivi. L'unico modo funzionante è attivare un client VPN sul router e inserire la TV o la console in una sottorete che passa attraverso il tunnel. Un'opzione più semplice è condividere il Wi-Fi da un laptop o Raspberry Pi, su cui è già configurato il tunnel. Tieni presente che in questo caso tutto il traffico del dispositivo passerà attraverso il VPN con tutte le perdite di velocità a causa dell'upload della connessione domestica.
È legale attivare un proprio server VPN a casa?
Sì. L'uso della tecnologia VPN da parte di un privato per accedere ai propri dispositivi, per proteggere il traffico su reti Wi-Fi aperte e per il lavoro remoto non è vietato dalla legge. I requisiti del regolatore riguardano gli operatori di servizi VPN pubblici, non i tunnel personali nella propria rete domestica. Questa è una risposta sulla parte tecnica della questione, non una consulenza legale: in caso di dubbi in una situazione specifica, è consigliabile consultare un avvocato.
Quanta elettricità consumerà un server che funziona 24 ore su 24, 7 giorni su 7?
Il Raspberry Pi 4 sotto carico consuma circa 5-7 W, un mini-PC con Intel N100 consuma 10-15 W, mentre un vecchio PC desktop può arrivare a consumare 60-100 W o più. Per stimare il costo in denaro, moltiplica i watt per 24 ore e per 30 giorni, converti in kilowattora e moltiplica per la tariffa della tua compagnia energetica: il numero risulterà diverso per ogni regione e tariffa.
Articoli correlati
Potrebbero interessarti anche
Come configurare una VPN per fast-torrent nel 2026: istruzio...
Come configurare la VPN fast-torrent: istruzioni per il 2026 Se stai leggendo questo testo, è probab...
Leggi di piùQual è il paese VPN più veloce: test dei server 2026
Qual è il paese VPN più veloce: test dei server 2026 Risposta breve: perché "il paese più veloce" è...
Leggi di piùVPN per giochi nel 2026: aiuta o rovina il ping?
VPN per giochi nel 2026: aiuta o rovina il ping? Scopriamo se vpn è buono per il gaming o no La risp...
Leggi di più