VPN TCP o UDP: cosa scegliere e come risolvere le interruzioni
VPN TCP o UDP: cosa scegliere e come risolvere le interruzioni Se la VPN si comporta in modo strano — si interrompe, non si connette o carica YouTube con la velocità degli anni '90 — probabilmente è colpa della scelta del protocollo di trasporto. La questione VPN TCP vs UDP: come risolvere questo pr
VPN TCP o UDP: cosa scegliere e come risolvere le interruzioni
Se la VPN si comporta in modo strano — si interrompe, non si connette o carica YouTube con la velocità degli anni '90 — probabilmente è colpa della scelta del protocollo di trasporto. La questione VPN TCP vs UDP: come risolvere questo problema senza dover modificare le impostazioni alla cieca — è una delle più comuni nel supporto. Di seguito — passaggi concreti, senza fronzoli.
Risposta breve: cosa cambiare subito
La logica è semplice. UDP è velocità e stabilità dove la rete è normale. TCP (soprattutto la porta 443) è passaggio attraverso firewall rigidi e DPI, quando il provider blocca UDP. Ricorda questa regola, e l'80% dei problemi si risolve in due minuti.
Se la VPN si interrompe o rallenta — prova UDP
La connessione si interrompe ogni 10 minuti, la velocità oscilla, il ping salta? Prima di tutto, assicurati che sia impostato su UDP. In OpenVPN Connect su Android o iOS — è il punto "Protocol" nelle impostazioni del profilo. Su Windows — modifica il file .ovpn, rigaproto udp. UDP funziona più velocemente proprio perché non perde tempo a confermare la consegna dei pacchetti.
Se la VPN non si connette affatto — passa a TCP
La VPN si blocca su "Connessione..." e dopo 30 secondi si interrompe con un errore? Questo è un segno che UDP è bloccato o filtrato. Cambiaproto udp inproto tcp nel file .ovpn — e riprova. In Amnezia questo si cambia direttamente nell'interfaccia, senza modificare manualmente il file di configurazione.
Porta 443 TCP come "mascheramento" sotto HTTPS
Il trucco più efficace per aggirare i blocchi dei provider — TCP sulla porta 443. Per i sistemi DPI questo appare come traffico HTTPS normale verso un qualsiasi sito. Nel file .ovpn è necessario specificare siaproto tcp cheport 443 contemporaneamente. La maggior parte dei servizi VPN offre configurazioni pronte con queste impostazioni.
Qual è la differenza tra TCP e UDP in parole semplici
Senza lezioni tecniche, ma con i dettagli necessari — altrimenti non capirai perché una soluzione funziona e l'altra no.
TCP — consegna con conferma (affidabile, ma più lenta)
TCP — come una lettera raccomandata con ricevuta di ritorno. Hai inviato un pacchetto — aspetti la conferma. Non è arrivata — lo rimandi. Questo garantisce che tutti i dati arrivino e nell'ordine corretto. Ma ogni conferma comporta millisecondi di ritardo aggiuntivi.
UDP — consegna senza conferma (veloce, ma senza garanzie)
UDP — una cartolina. L'hai buttata nella cassetta e dimenticata. È arrivata o no — non si sa, non chiederai di nuovo. Per lo streaming video e i giochi online va bene: la perdita di un fotogramma non è critica. Ecco perché YouTube, Zoom e la maggior parte dei giochi funzionano su UDP.
Perché per la VPN è più importante di quanto sembri
La VPN aggiunge un ulteriore strato sopra il tuo traffico. La scelta del protocollo influisce non solo sulla velocità, ma anche sul fatto che il provider permetta o meno questo traffico. I provider russi, sotto pressione da parte del Roskomnadzor, utilizzano attivamente il DPI, che è in grado di identificare il tipo di traffico e di rallentarlo o bloccarlo selettivamente.
"TCP sopra TCP" — la causa nascosta dei rallentamenti
Ecco di cosa tacciono la maggior parte dei concorrenti. Quando utilizzi OpenVPN su TCP e contemporaneamente apri un sito tramite HTTPS (anch'esso TCP), si verifica l'effetto "TCP sopra TCP". In caso di perdite di pacchetti, entrambi i livelli iniziano a richiedere contemporaneamente la ritrasmissione. Questo crea una valanga di richieste, che soffoca la velocità fino a livelli di connessione modem. Su una buona rete non te ne accorgi. Su una rete mobile instabile o con un provider sovraccarico — la differenza è enorme.
UDP è privo di questo effetto — semplicemente non richiede di nuovo. Pertanto, su una rete instabile, UDP mostra paradossalmente prestazioni migliori rispetto al "affidabile" TCP.
Perché il provider blocca UDP e cosa c'entra il DPI
Molti utenti notano: a casa su Wi-Fi la VPN funziona, ma nella rete mobile — no. O ha funzionato, e poi ha smesso. Non è un caso.
Come il DPI (Deep Packet Inspection) riconosce il traffico VPN
Il DPI non è solo un firewall che guarda le porte. Analizza il contenuto dei pacchetti, la loro dimensione, il timing, l'entropia dei dati. OpenVPN e WireGuard hanno firme caratteristiche: schemi di handshake specifici, intestazioni fisse. I moderni sistemi DPI (in Russia sono diffusi le soluzioni TSPU del Roskomnadzor) sono in grado di riconoscerli indipendentemente dalla porta.
Blocchi e rallentamenti da parte dei provider e del Roskomnadzor
Dal 2021, il Roskomnadzor sta implementando attivamente il TSPU sulle reti dei grandi operatori. Sono stati soggetti a rallentamenti in diversi periodi Twitter/X, YouTube, così come il traffico VPN con firme caratteristiche. UDP su porte non standard è il più facile da bloccare — basta filtrare tutto ciò che non è DNS, QUIC o servizi noti.
Quando UDP funziona e TCP no — e viceversa
Nelle reti aziendali e nel Wi-Fi pubblico la situazione è opposta: lì spesso è consentito solo il traffico HTTP/HTTPS, cioè TCP sulle porte 80 e 443. UDP può essere completamente bloccato — questa è una pratica standard dei firewall aziendali. Il doppio NAT negli hotel e negli aeroporti spesso consente solo TCP 443.
Perché è più difficile bloccare TCP 443
Bloccare TCP 443 significa bloccare tutto l'HTTPS. Nessun provider sano di mente lo farebbe: le banche, i servizi pubblici, tutto andrebbe in tilt. È proprio per questo che TCP sulla porta 443 rimane l'ultima linea di difesa quando tutto il resto è bloccato. Ma sottolineo: non è una panacea — un DPI intelligente sa distinguere OpenVPN TLS da un vero HTTPS anche sulla porta 443.
Passo dopo passo: come passare da TCP a UDP su diversi dispositivi
Passaggi specifici per ogni piattaforma. Non farò screenshot — le interfacce cambiano ad ogni aggiornamento, mentre le descrizioni rimangono attuali più a lungo.
OpenVPN su Android e iPhone
In OpenVPN Connect (versione 3.x) apri il profilo → clicca sulla matita → "Avanzate" → "Protocollo". Lì c'è l'interruttore UDP/TCP. Se il profilo è stato importato da un file .ovpn, è più semplice modificare direttamente il file: trova la rigaproto udp oproto tcp e sostituisci. Poi elimina il vecchio profilo e importa di nuovo il file aggiornato.
Su iPhone con Amnezia — nella sezione delle impostazioni del server specifico c'è un menu a discesa per i protocolli, inclusi OpenVPN TCP e UDP.
OpenVPN su Windows e Mac
I file .ovpn di solito si trovano inC:\Users\[nome]\OpenVPN\config\ su Windows e in~/.config/openvpn/ su Mac (o nella directory dell'applicazione Tunnelblick). Apri con un editor di testo, modifica la rigaproto, e salva. Per TCP 443 è necessario modificare anche la porta:remote server.example.com 443 tcp. Dopo la modifica — riconnetti il tunnel.
Amnezia (AmneziaWG / OpenVPN)
Amnezia è probabilmente la soluzione più comoda per cambiare protocolli senza impazzire con i file. Nell'app selezioni la connessione → "Impostazioni" → "Protocollo". Sono disponibili OpenVPN UDP, OpenVPN TCP, AmneziaWG e Shadowsocks. Il cambio avviene senza riavviare l'app. Questa è una delle ragioni per cui Amnezia è popolare per aggirare i blocchi russi.
Configurazione sul router
Su router con OpenWrt o firmware come Keenetic, cambiareprotorichiede la modifica del config tramite SSH o interfaccia web e il successivo riavvio del servizio OpenVPN con il comandoservice openvpn restart. Chiudere e riaprire l'app sul telefono non è sufficiente — il tunnel si attiva dal lato del router. Questo è importante per Smart TV e console di gioco: non possono scegliere il protocollo da sole, solo il router.
Come capire quale protocollo è attualmente attivo
Nei log di OpenVPN Connect cerca una riga del tipoProto: UDP oTCP subito dopo la connessione. Nel terminale su Linux/Mac il comandoss -tunp | grep openvpnmostrerà le connessioni attive con il protocollo. In Amnezia il protocollo attuale è visualizzato nella schermata principale sotto il nome del server.
Se né TCP né UDP aiutano: cosa fare dopo
Conversazione onesta. Se sei arrivato fin qui e il passaggio da TCP a UDP non ha funzionato, significa che il problema è più profondo. La questione VPN TCP vs UDP: come risolvere la situazione quando i metodi classici non funzionano ha una sola risposta: è necessaria l'offuscazione.
Cambio di porta: 1194, 443, 80
La porta 1194 UDP è standard per OpenVPN ed è la prima a essere bloccata. Prova in sequenza: 443 TCP, poi 80 TCP (HTTP), poi 8080 TCP. Alcuni provider bloccano le porte non standard in blocco, lasciando solo 80 e 443. Se il server VPN supporta più porte, la scansione richiederà meno di cinque minuti.
Passaggio a protocolli offuscati: Shadowsocks, VLESS/XRay, AmneziaWG
Il DPI moderno è in grado di identificare OpenVPN e WireGuard anche sulla porta 443, in base ai pattern di handshake e alla struttura del traffico. Shadowsocks cripta non solo i dati, ma anche le intestazioni, rendendo il traffico statisticamente simile a rumore casuale. VLESS/XRay vanno ancora oltre: si nascondono all'interno di una connessione WebSocket o gRPC legittima verso un vero dominio. AmneziaWG aggiunge pacchetti spazzatura a WireGuard, rompendo la sua firma.
Servizi come NvoVPN e soluzioni basate su Amnezia supportano questi protocolli senza configurazione manuale: è una delle opzioni se non si desidera implementare un proprio server. Per la configurazione autonoma è necessario un VPS e un'ora di tempo con la documentazione di XRay o 3x-ui.
Quando il problema non è nel protocollo, ma nell'MTU
Sintomo: VPN si connette, stato "connesso", ma i siti o non si caricano affatto, o si aprono parzialmente: c'è testo, ma non ci sono immagini. Questo è un segno classico di conflitto MTU. La VPN aggiunge intestazioni ai pacchetti, aumentando la loro dimensione oltre l'MTU massimo consentito di 1500 byte. I pacchetti iniziano a frammentarsi o a perdersi.
Soluzione per OpenVPN: aggiungi nel file .ovpn le righemssfix 1400 efragment 1400. Per WireGuard nelle impostazioni dell'interfaccia imposta l'MTU su 1380. Puoi trovare il valore esatto con il comandoping -M do -s 1400 8.8.8.8 (Linux/Mac) — riduci la dimensione finché il ping non smette di segnalare errori di frammentazione.
Controllo lato server e cambio di posizione
A volte il problema non è nelle impostazioni del client. Il server VPN potrebbe essere sovraccarico, il suo IP potrebbe essere finito nella blacklist di Roskomnadzor, oppure l'hosting ha problemi di instradamento verso le reti russe. Prova a connetterti a un altro server in un altro paese: se funziona, significa che il problema era in un nodo specifico. I Paesi Bassi e la Finlandia tradizionalmente passano meglio attraverso i provider russi rispetto, ad esempio, agli Stati Uniti o all'Australia.
Domande frequenti
Cosa è più veloce per VPN — TCP o UDP?
UDP è quasi sempre più veloce e offre una latenza inferiore: non ci sono sovraccarichi per conferme e ritrasmissioni. Su una rete normale la differenza è del 10-30% in velocità e una differenza evidente nel ping. Si sceglie TCP per la sua capacità di passare attraverso firewall e DPI, sacrificando consapevolmente la velocità. Mantenere TCP come protocollo principale senza motivo è una cattiva idea.
Perché il mio VPN funziona solo su TCP, mentre UDP non si connette?
Il provider o il sistema DPI bloccano il traffico UDP su porte non standard. TCP sulla porta 443 si maschera da normale HTTPS — ed è per questo che passa dove UDP fallisce. Questo è un chiaro segno di filtraggio attivo del traffico. Su internet mobile (LTE/5G) questo si verifica più spesso che su fibra ottica domestica.
Quale protocollo scegliere per bypassare i blocchi di YouTube, Instagram e Telegram?
Inizia con UDP: offrirà una buona velocità per video e streaming. Se UDP viene bloccato dal provider, passa a TCP 443. Se anche questo non aiuta e Telegram o Instagram non si aprono comunque, significa che non puoi fare a meno dei protocolli offuscati (VLESS/XRay, Shadowsocks, AmneziaWG). La semplice scelta tra TCP/UDP contro il DPI moderno è solo il primo passo.
WireGuard ha la scelta tra TCP o UDP?
No. WireGuard funziona esclusivamente su UDP: è parte della sua architettura. Se il tuo provider blocca UDP, WireGuard non si connetterà con nessuna impostazione lato client. Soluzioni: passare a OpenVPN con TCP, utilizzare AmneziaWG (che aggiunge offuscazione sopra WireGuard) o l'involucro udp2raw, che tunnelizza UDP in TCP. Questa è una delle principali ragioni per cui WireGuard viene bloccato più spesso di OpenVPN TCP.
VPN si connette, ma non c'è internet o i siti si caricano parzialmente — cosa c'entra TCP/UDP?
Probabilmente, il problema è nell'MTU, non nella scelta del protocollo. Le intestazioni VPN aumentano la dimensione dei pacchetti e non passano attraverso il tunnel per intero. Prova ad aggiungeremssfix 1400 efragment 1400 nel config di OpenVPN o riduci l'MTU a 1380 nelle impostazioni di WireGuard. Controlla anche il cambio di porta e la posizione del server: a volte il problema è lì.
È pericoloso rimanere sempre su TCP invece di UDP?
Non è pericoloso in termini di sicurezza. Ma su una rete instabile, TCP è notevolmente più lento a causa dell'effetto "TCP su TCP": le doppie ritrasmissioni dei pacchetti in caso di perdite soffocano la velocità. Su una buona fibra ottica la differenza è piccola. Su internet mobile con perdite di pacchetti del 2-5% è molto evidente. Tieni TCP come opzione di riserva per superare i blocchi, ma torna su UDP non appena possibile.
In breve, riassumendo tutto ciò che è stato detto su VPN TCP vs UDP: come risolvere la maggior parte dei problemi — inizia con UDP, in caso di blocchi passa a TCP 443, e se anche questo non aiuta, guarda verso l'offuscazione. La scelta tra TCP e UDP è il primo strumento nell'arsenale, ma non l'ultimo.
Articoli correlati
Potrebbero interessarti anche
OpenConnect: configurazione e connessione nel 2026
OpenConnect: configurazione e connessione nel 2026 Se hai in mano la configurazione del server ocser...
Leggi di piùTUIC: configurazione e connessione VPN nel 2026
TUIC: configurazione e connessione VPN nel 2026 Se hai già provato VLESS e Shadowsocks, ma il provid...
Leggi di piùCloak offuscazione: configurazione e collegamento nel 2026
Cloak offuscazione: configurazione e collegamento nel 2026 Se il provider taglia WireGuard o OpenVPN...
Leggi di più