WireGuard: configurazione e connessione nel 2026 — guida

Se ti è stato fornito un file di configurazione o un codice QR da un servizio VPN e non sai cosa farne — sei nel posto giusto. WireGuard: configurazione e connessione nella pratica richiede 5 minuti, se si conosce l'ordine delle operazioni. Ma c'è un dettaglio: in Russia i provider tagliano sempre più spesso WireGuard puro tramite DPI, e semplicemente importare il file di configurazione potrebbe non essere sufficiente. Di questo parleremo anche.

Cos'è WireGuard e cosa serve per la connessione

WireGuard è un protocollo VPN, non un'applicazione. Funziona a livello di kernel del sistema operativo, è molto veloce e compatto: tutto il codice occupa circa 4.000 righe contro 400.000 di OpenVPN. Per utilizzarlo servono due cose: il client ufficiale di WireGuard (scaricabile gratuitamente) e il file di configurazione — un file .conf o un codice QR fornito dal tuo provider VPN o dal tuo server.

Non ci sono account, login e password all'interno del protocollo stesso. L'autenticazione avviene solo tramite una coppia di chiavi: pubblica e privata. Questa è la principale ragione per cui WireGuard è così veloce e affidabile.

File di configurazione (.conf) e codice QR — da dove ottenerli

Il file di configurazione si ottiene dal provider VPN nel proprio pannello personale. La maggior parte dei servizi normali — incluso NvoVPN — lo fornisce subito in due formati: .conf testuale per computer e codice QR per telefoni. Se stai configurando il tuo server, il file di configurazione viene generato con il comandowg genkey e configurato manualmente.

Il file .conf pesa qualche kilobyte e può essere aperto con qualsiasi editor di testo. Se lo perdi — richiedi un nuovo file nel pannello personale. Alcuni provider hanno file di configurazione con scadenza limitata, quindi se la connessione smette di funzionare improvvisamente — controlla se è scaduto.

Cosa c'è dentro il file di configurazione: PrivateKey, Endpoint, AllowedIPs, DNS

Apri il .conf — e vedrai qualcosa del genere:

[Interface]

PrivateKey — la tua chiave personale, non mostrarla a nessuno.Endpoint — indirizzo IP e porta del server VPN.AllowedIPs = 0.0.0.0/0 significa "invia tutto il traffico tramite VPN".DNS — server dei nomi che verrà utilizzato all'interno del tunnel.PersistentKeepalive = 25 — invio di pacchetti ogni 25 secondi, affinché il NAT non interrompa la connessione.

Cosa distingue WireGuard da OpenVPN e IKEv2 per eludere i blocchi

WireGuard funziona esclusivamente su UDP, il che lo rende veloce, ma riconoscibile per DPI. OpenVPN può funzionare su TCP sulla porta 443 e mascherarsi da HTTPS — questo è più lento, ma migliore per eludere i blocchi. IKEv2 è veloce e funziona bene sui dispositivi mobili durante il cambio di reti, ma è anche riconoscibile.

Se hai un provider normale senza filtraggio aggressivo — WireGuard sarà il più veloce. Se il provider blocca UDP o ci sono filtri di Roskomnadzor — dovrai usare AmneziaWG o passare a VLESS/XRay o Shadowsocks. Di questo parleremo più dettagliatamente nella sezione sui blocchi.

Configurazione di WireGuard su diversi dispositivi: passo dopo passo

WireGuard: configurazione e connessione su ogni piattaforma appare leggermente diversa, ma la logica è la stessa: installare il client → importare il file di configurazione → attivare il tunnel → verificare il handshake. Procediamo in ordine.

Android: importazione tramite codice QR e da file

Installa l'app WireGuard da Google Play (sviluppatore — WireGuard LLC, versione valida per il 2026). Premi il pulsante blu “+” nell'angolo in basso a destra.

• Codice QR: seleziona "Scansiona codice QR", inquadra la fotocamera — il tunnel verrà aggiunto automaticamente. Questo è il modo più veloce.
• File .conf: seleziona "Importa da file o archivio", trova il .conf scaricato nella memoria.

Dopo l'importazione, premi l'interruttore accanto al nome del tunnel. Dopo un paio di secondi, nel campo "Ultima connessione" dovrebbe apparire un orario — significa che l'handshake è andato a buon fine e il tunnel funziona. Su versioni più vecchie di Android (fino a 8.0) il client ufficiale a volte si comporta in modo instabile — prova un client alternativo come TunSafe o aggiorna Android.

iPhone e iPad (iOS): installazione da App Store e aggiunta del tunnel

App Store → cerca "WireGuard" → installa l'app dal WireGuard Development Team. Premi "Aggiungi tunnel" nell'angolo in alto a destra.

I metodi di aggiunta sono gli stessi: "Crea da QR code" (il più comodo) o "Crea da file o archivio" se hai scaricato .conf. Dopo aver aggiunto, il sistema chiederà il permesso di creare una configurazione VPN — accetta. Attiva l'interruttore e guarda lo stato della connessione.

Windows: installazione del client e importazione .conf

Scarica l'installer dal sito ufficiale wireguard.com — il file wireguard-installer.exe pesa circa 10 MB. Installa, apri l'applicazione. In basso a sinistra c'è il pulsante "Aggiungi tunnel" → "Importa tunnel da file" → seleziona il tuo .conf.

Il tunnel apparirà nell'elenco a sinistra. Clicca su "Connetti". Nella parte destra dello schermo vedrai lo stato: Transfer, Endpoint, Last handshake. Se il handshake è apparso — tutto funziona. WireGuard su Windows aggiunge anche un adattatore di rete virtuale — se qualcosa non va, controlla che il firewall di Windows non lo stia bloccando.

macOS: configurazione tramite App Store

Su Mac ci sono due opzioni: l'app dal Mac App Store (WireGuard del WireGuard Development Team) o l'installazione tramite Homebrew con il comandobrew install wireguard-toolsper la riga di comando. La prima opzione è più semplice. Dopo aver installato dall'App Store, la logica è la stessa: apri l'applicazione, premi "+" → "Importa tunnel da file", seleziona .conf, attiva.

Router (OpenWrt, Keenetic) e Smart TV / Apple TV

Per Smart TV, Apple TV e console di gioco non ci sono client WireGuard nativi o sono limitati. La soluzione più sensata è configurare WireGuard sul router, e così tutti i dispositivi nella rete passeranno automaticamente attraverso la VPN.

OpenWrt:WireGuard è supportato a partire dalla versione 21.02. Installa il pacchettoluci-app-wireguardtramite LuCI o opkg, e inserisci manualmente i parametri dal file di configurazione. È più complicato rispetto al telefono, ma funziona in modo stabile.

Keenetic:a partire dal firmware 3.3 WireGuard è integrato. Vai su "Altre connessioni" → "WireGuard" → "Aggiungi connessione" e inserisci i dati dal file di configurazione. È molto più user-friendly rispetto a OpenWrt per l'utente medio.

Un punto importante: se sul router è già attivo un altro tunnel VPN (ad esempio, OpenVPN), WireGuard potrebbe entrare in conflitto con la routing. Disattiva il tunnel precedente prima di configurare.

Verifica della connessione e test della velocità

Il tunnel è attivato. Ora bisogna assicurarsi che il traffico stia realmente passando attraverso la VPN, e non bypassandola.

Come verificare che il traffico stia passando attraverso la VPN (controllo di IP e perdite DNS)

Apri nel browser 2ip.ru o ipleak.net. Mostreranno il tuo indirizzo IP esterno. Dovrebbe corrispondere all'Endpoint del file di configurazione (IP del server VPN), e non al tuo reale indirizzo del provider.

Controlla anche il server DNS. Se nel file di configurazione è indicato DNS = 1.1.1.1, allora nei risultati del controllo dovrebbe apparire Cloudflare, e non il DNS del tuo provider. Se il DNS del tuo provider è comunque visibile — hai una perdita DNS. La causa è solitamente un parametro DNS errato nel file di configurazione o il fatto che il sistema utilizza DNS sopra HTTPS del browser bypassando il tunnel.

Dove vedere l'ultimo handshake e il volume di traffico

Nell'applicazione WireGuard (su qualsiasi piattaforma) nei dettagli del tunnel c'è un campo "Ultimo handshake" (Last handshake). Se lì il tempo si aggiorna ogni 2-3 minuti — il tunnel è attivo. Se l'handshake mostra "Mai" o il tempo è superiore a 5 minuti fa — qualcosa non va.

Guarda anche i contatori Transfer: "Ricevuto" e "Inviato" dovrebbero aumentare man mano che utilizzi Internet. Se "Inviato" aumenta, ma "Ricevuto" no — i dati stanno andando al server, ma le risposte non tornano. Questa è una situazione classica in caso di blocco UDP.

Come misurare correttamente la velocità prima e dopo la connessione

La metodologia è semplice: fai 3 misurazioni su speedtest.net o fast.com senza VPN in diversi momenti della giornata, annota la media. Poi fai lo stesso con WireGuard attivato tramite il server più vicino geograficamente.

WireGuard di solito perde il 10-20% della velocità di base sotto carico a causa della crittografia, che è molto meglio di OpenVPN (lì le perdite sono spesso del 30-50%). Ma la velocità reale dipende dal carico del server e dal percorso fino ad esso attraverso la rete del tuo provider. Una misurazione — non è indicativa. Tre misurazioni in momenti diversi — già si possono trarre conclusioni.

Evitare i blocchi e DPI: quando WireGuard puro non è sufficiente

Ecco dove la maggior parte delle guide finisce, mentre i problemi iniziano.

Perché i provider e Roskomnadzor rallentano e tagliano WireGuard

WireGuard utilizza UDP e ha una firma caratteristica nei primi pacchetti di handshake. I sistemi DPI (Deep Packet Inspection), che sono presenti presso la maggior parte dei grandi provider russi e vengono implementati su richiesta del TSPU (mezzi tecnici per contrastare le minacce), sono in grado di riconoscere questa firma.

Risultato: il provider non blocca WireGuard direttamente (è evidente), ma semplicemente rallenta il traffico UDP su porte note o introduce throttling per indirizzi IP specifici. La connessione c'è, l'handshake passa, ma la velocità scende a 1-5 Mbit/s invece dei normali 50-100. Questo è particolarmente evidente la sera durante le ore di punta.

AmneziaWG: offuscamento di WireGuard contro DPI

AmneziaWG è un fork di WireGuard con uno strato aggiuntivo di offuscamento. Maschera l'handshake in modo che il DPI non possa identificare in modo univoco il traffico come WireGuard. Sviluppato dal team russo Amnezia, il codice è aperto.

I client AmneziaWG sono disponibili per Android, iOS, Windows, macOS e Linux. La configurazione è simile a quella di WireGuard normale, ma con parametri aggiuntivi Jc, Jmin, Jmax, S1, S2, H1–H4 — i valori sono forniti dal provider. Svantaggio: il client WireGuard normale non capirà questa configurazione, è necessario proprio il client AmneziaWG.

Nella pratica AmneziaWG funziona bene contro DPI leggeri. Contro blocchi severi — come quelli di alcuni operatori di telefonia mobile — potrebbe non aiutare.

Alternative per blocchi severi: VLESS/XRay, Shadowsocks

Se il provider blocca completamente UDP o AmneziaWG non aiuta — sono necessari protocolli che si mascherano come traffico HTTPS normale.

VLESS/XRay con XTLS-Reality — per oggi è l'opzione più resistente per la Russia. Il traffico appare come una connessione TLS con un sito reale. DPI non lo distingue da un normale browser. Richiede un proprio server o un provider che supporti questo protocollo.

Shadowsocks — più semplice da configurare, collaudato da tempo, ci sono client su tutte le piattaforme. Si maschera peggio come traffico legittimo rispetto a XTLS-Reality, ma meglio di WireGuard nudo.

Wi-Fi aziendale o alberghiero che taglia le porte non standard — qui aiuta cambiare la porta di WireGuard a 443 o 80. Ma se UDP è completamente bloccato — solo protocolli TCP sopra.

Accesso a YouTube, Instagram, Facebook, X (Twitter), oltre alla protezione di Telegram e WhatsApp

Uno scenario legale per l'uso di VPN è accedere a piattaforme bloccate in Russia: Instagram (Meta), Facebook (Meta), Twitter/X, parzialmente TikTok, oltre a utilizzare YouTube senza rallentamenti. Telegram in RF è ufficialmente sbloccato dal 2020, ma il traffico verso alcuni server viene periodicamente rallentato.

Per questi compiti WireGuard si comporta ottimamente in condizioni normali. Se questo è il tuo obiettivo e il provider non blocca UDP — configura AllowedIPs = 0.0.0.0/0 (tutto il traffico attraverso VPN) e indica un server in giurisdizione neutrale. Se DPI interferisce — AmneziaWG o VLESS.

NvoVPN supporta diversi protocolli tra cui scegliere — inclusi WireGuard e alternative — il che è comodo se è necessario passare a un provider specifico. Ma la cosa principale: tenere a disposizione un protocollo di riserva nel caso in cui quello principale venga bloccato.

Errori di connessione frequenti e come risolverli

Analizziamo per sintomi — senza fronzoli.

Il tunnel è attivo, ma non c'è internet (no handshake)

Se il campo "Ultima connessione" mostra "Mai" — il tunnel non è stabilito. Motivi:

• Endpoint errato. Controlla l'indirizzo IP e la porta. Prova a pingare l'IP dalla riga di comando.
• Il provider blocca UDP su questa porta. Prova un'altra porta (se il servizio offre alternative) o un altro server.
• Doppio NAT / CGNAT. Alcuni operatori mobili utilizzano CGNAT, il che causa la perdita dei pacchetti WireGuard. La soluzione è PersistentKeepalive = 25 nella configurazione o cambiare operatore/rete.
• La configurazione è scaduta. Accedi al pannello del provider e riemetti la configurazione.

Si connette, ma i siti non si aprono (problema DNS)

Handshake presente, Transfer in aumento, ma il browser mostra "Impossibile trovare il server". Questo è un problema DNS.

Controlla il parametro DNS nella configurazione — deve esserci un server funzionante: 1.1.1.1 (Cloudflare), 8.8.8.8 (Google) o DNS del tuo provider VPN. Campo DNS vuoto o indirizzo errato — il browser non può risolvere i domini.

Un'altra causa: AllowedIPs non include il traffico verso il server DNS. Se utilizzi lo split-tunneling (AllowedIPs non è 0.0.0.0/0), assicurati che il server DNS rientri nelle sottoreti consentite. La soluzione più semplice è impostare 0.0.0.0/0 e instradare tutto il traffico attraverso la VPN.

La connessione si interrompe continuamente o funziona in modo instabile

Sulle reti mobili questo accade quando si passa tra Wi-Fi e dati mobili o tra torri. WireGuard di default non invia pacchetti keepalive, e le tabelle NAT dal lato dell'operatore scadono.

Aggiungi nella sezione [Peer] la rigaPersistentKeepalive = 25 — questo costringerà il client a inviare pacchetti ogni 25 secondi, mantenendo viva la connessione. Influisce minimamente sulla batteria. Se la configurazione è arrivata dal provider senza questa riga — aggiungila manualmente in qualsiasi editor di testo prima dell'importazione.

Controlla anche la stabilità del server stesso — se il provider ha problemi hardware o di banda, nessun keepalive aiuterà.

Errore di importazione della configurazione e chiavi errate

Durante l'importazione del .conf l'applicazione segnala un errore di formato — significa che il file è danneggiato. Cause comuni: hai copiato la configurazione tramite clipboard e hai perso un carattere, il file è stato salvato in codifica UTF-16 invece di UTF-8, o ci sono spazi nelle chiavi.

PrivateKey e PublicKey in WireGuard sono stringhe base64 lunghe esattamente 44 caratteri, che terminano con "=". Se la chiave è più corta o contiene spazi — è errata. Richiedi una nuova configurazione al provider. Non cercare di modificare le chiavi manualmente — un solo carattere errato e il tunnel non si attiverà.