WireGuard nel 2026: configurazione, velocità, bypass delle restrizioni

Se stai scegliendo un protocollo VPN, è probabile che tu abbia già sentito parlare di WireGuard. Wireguard 2026 non è più un "nuovo promettente", ma uno standard maturo, integrato nel kernel Linux a partire dalla versione 5.6. Ma in Russia la situazione è ambigua: veloce, comodo, e nel frattempo i provider lo bloccano più velocemente di quanto tu riesca a configurarlo.

In questo articolo analizzeremo come funziona realmente nel 2026, dove si interrompe e cosa fare se il tuo provider è chiaramente a conoscenza della sua firma.

Cos'è WireGuard e perché se ne parla nel 2026

WireGuard è un protocollo VPN basato su UDP, con una base di codice di circa 4000 righe. Questo è sostanzialmente inferiore rispetto a OpenVPN (~70.000 righe) o IPsec. Meno codice significa una minore superficie di attacco, più facile audit.

La crittografia è moderna e senza opzioni superflue: ChaCha20 per la crittografia simmetrica, Curve25519 per lo scambio di chiavi, Poly1305 per l'autenticazione dei messaggi, BLAKE2s per l'hashing. Niente "scegli un algoritmo dalla lista" — un set, collaudato e veloce. Questo elimina un'intera classe di errori di configurazione che affliggono i deployment di OpenVPN.

Come funziona WireGuard: in parole semplici

Concettualmente, WireGuard funziona come le chiavi SSH, solo per VPN. Ogni partecipante ha una chiave pubblica e una privata. Il server conosce la chiave pubblica del client, il client conosce la chiave pubblica del server. Il handshake richiede 1 round-trip, dopodiché i dati viaggiano direttamente.

Niente CA, nessun certificato, nessun lungo file di configurazione con decine di parametri. La configurazione minima funzionante del client è di 10 righe. Funziona.

Cosa distingue WireGuard da OpenVPN e IKEv2

OpenVPN funziona sopra TCP o UDP e può emulare il traffico HTTPS normale — questo è un vantaggio per bypassare le restrizioni. Ma paga in termini di prestazioni e complessità di configurazione. IKEv2 è buono sui dispositivi mobili: può passare tra Wi-Fi e rete mobile senza interrompere il tunnel (funzione MOBIKE). WireGuard occupa qui la nicchia "massima velocità con minima complessità", ma perde in mascheramento.

La principale differenza è l'architettura stateless. WireGuard non invia pacchetti finché non ci sono dati. Questo risparmia batteria sui dispositivi mobili, ma con NAT può portare a interruzioni (di questo parleremo più avanti).

Versioni attuali e supporto nel kernel Linux, Android, iOS

WireGuard è entrato nel kernel Linux con la versione 5.6 (aprile 2020). Ora è già storia: la maggior parte delle moderne distribuzioni viene fornita con kernel 6.x, dove il supporto è integrato. Su Android, il client nativo è apparso nella versione 12 tramite Google Play Services. iOS — l'app ufficiale WireGuard nell'App Store dalla versione 1.0.15 supporta tunnel on-demand.

Windows richiede un client separato (wireguard.com, versione 0.5.x e successiva). macOS — lo stesso, oppure tramite Homebrew per la riga di comando.

Velocità reale di WireGuard: test e da cosa dipende

Le promesse "fino a 10 Gbit/s" sul sito di WireGuard sono sintesi su un'interfaccia loopback su un server con AVX512. In realtà, è tutto più modesto, e va bene così.

Metodologia del test: su quale hardware e canale è stato misurato

Un test onesto appare così: client con un canale ISP reale (ad esempio, 300 Mbit/s da Rostelecom o MTS), server VPS in Finlandia o Germania con un canale di 1 Gbit/s, misurazione tramite speedtest-cli o fast.com con flussi paralleli. Senza flussi paralleli, otterrai un'immagine distorta.

In queste condizioni, WireGuard mostra 150–220 Mbit/s su un canale di 300 Mbit/s, ping 30–50 ms verso server europei. OpenVPN sullo stesso canale — 80–140 Mbit/s con un consumo di CPU notevolmente maggiore. Questi sono intervalli, non numeri esatti — tutto dipende dal server specifico e dal canale.

WireGuard contro OpenVPN: differenza in velocità e ping

UDP contro TCP — già una grande parte della differenza. OpenVPN sopra TCP aggiunge ritrasmissioni a livello VPN oltre alle ritrasmissioni TCP di basso livello, il che uccide la latenza. WireGuard non lo fa.

La differenza nella latenza è percepibile: +5–15 ms per WireGuard contro +15–35 ms per OpenVPN/TCP sullo stesso percorso. Per videochiamate e giochi, questo è evidente dal vivo.

Perché la tua velocità reale potrebbe essere inferiore

MTU — una causa comune. L'MTU predefinito in WireGuard è 1420, ma con alcuni tunnel e provider è necessario impostare 1280 o addirittura 1200. Altrimenti, la frammentazione dei pacchetti riduce la velocità.

Il carico del nodo, la distanza dal server, CGN presso gli operatori mobili — tutto questo influisce. E la cosa principale per il pubblico russo: se il provider limita WireGuard tramite DPI, la velocità scende a 5–20 Mbit/s indipendentemente dalla reale capacità di banda.

Il principale problema di WireGuard in Russia: DPI e blocchi

Ecco cosa molti fonti tacciono: wireguard 2026 non è una panacea per bypassare le restrizioni in Russia. È veloce. Ma viene rilevato.

Come Roskomnadzor e i provider rilevano WireGuard tramite DPI

Il handshake di WireGuard ha una struttura fissa: il primo pacchetto inizia sempre con il byte 0x01, seguito da campi di dimensioni note. I sistemi DPI, inclusi i TSPU (Strumenti Tecnici per la Contrasto delle Minacce) — attrezzature che gli operatori sono obbligati a installare su richiesta del RKN — lo riconoscono senza problemi.

Poi ci sono opzioni: blocco totale (i pacchetti vengono scartati) o time-shaping (la connessione viene stabilita, ma la velocità viene ridotta a 1–5 Mbit/s). La seconda opzione è più insidiosa — sembra che tutto funzioni, ma guardare YouTube in HD è impossibile.

Perché il WireGuard puro viene rallentato o bloccato

I provider lo fanno non perché siano cattivi. Stanno eseguendo prescrizioni. I TSPU sono presenti presso tutti i grandi operatori — MTS, Beeline, Megafon, Rostelecom, T2. La situazione presso i piccoli provider regionali può essere migliore.

Le reti aziendali sono un'altra storia. Lì c'è una lista bianca di porte consentite, e UDP 51820 (la porta predefinita di WireGuard) spesso non è presente. La soluzione è cambiare la porta in 443 o 80, ma questo aiuta solo parzialmente, perché il DPI non guarda solo alla porta.

Offuscamento: AmneziaWG, Shadowsocks, VLESS/XRay come soluzione

AmneziaWG è un fork di WireGuard del team di Amnezia VPN. La caratteristica chiave: le intestazioni dei pacchetti vengono randomizzate, viene aggiunto traffico "spazzatura" nel handshake. Il DPI vede qualcosa di incomprensibile invece della firma di WireGuard. La velocità, nel frattempo, non ne risente quasi — l'overhead è minimo.

VLESS/XRay e Shadowsocks funzionano in modo diverso: mascherano il traffico come legittimo TLS/HTTPS. Questo è più efficace contro il DPI aggressivo, ma più complesso da configurare e leggermente più lento di WireGuard in forma pura. Per situazioni in cui AmneziaWG viene ancora rilevato, VLESS con Reality è una soluzione reale.

Se il provider blocca completamente tutto l'UDP — e questo accade nelle reti aziendali e universitarie — né WireGuard né AmneziaWG si avvieranno. Serve un protocollo basato su TCP: Shadowsocks su TCP, VLESS, o OpenVPN/TCP.

Configurazione di WireGuard su diversi dispositivi: passo dopo passo

Buone notizie: l'importazione della configurazione tramite QR code funziona ovunque e richiede 30 secondi. Cattive notizie: su Smart TV non c'è un client nativo.

Android: installazione dell'app e importazione della configurazione

Scaricate l'app ufficiale WireGuard da Google Play. Nell'app — c'è un pulsante «+», scegliete «Scansiona QR code» o «Importa da file». Se avete un file .conf — trasferitelo tramite Files, Telegram o in qualsiasi modo conveniente. Attivate il tunnel con l'interruttore.

Nota: Android chiude aggressivamente i processi in background per risparmiare batteria. Il tunnel può interrompersi durante il cambio di rete o dopo un lungo periodo di inattività dello schermo. Si risolve nelle impostazioni di ottimizzazione della batteria — aggiungete WireGuard nelle eccezioni. Su alcune versioni firmware (soprattutto Xiaomi/MIUI) questo non aiuta, quindi attivate sempre VPN nelle impostazioni di sistema.

iPhone e iPad: configurazione tramite l'app ufficiale

App Store, app WireGuard. Importazione tramite QR o file .conf — la procedura è identica a quella di Android. iOS richiede il permesso per aggiungere la configurazione VPN — concedetelo.

Stesso problema con il background: iOS chiude il tunnel quando entra in modalità risparmio energetico o dopo un lungo periodo di inattività. Attivate on-demand nella configurazione del tunnel — WireGuard su iOS supporta le regole on-demand (connettersi quando si accede a determinati domini o sempre). Questo risolve parzialmente il problema delle interruzioni.

Windows e macOS: tunnel da file di configurazione

Windows: scaricate l'installer da wireguard.com (l'attuale versione stabile è 0.5.3), installate, importate il file .conf tramite «Aggiungi tunnel da file». Tutto qui. macOS — lo stesso, solo .dmg.

Il kill switch su Windows si attiva con la casella «Blocca il traffico non tunnelato» nelle impostazioni avanzate del tunnel. Consiglio di attivarlo — altrimenti, in caso di interruzione del tunnel, il traffico passerà direttamente attraverso il provider.

Router, Smart TV e Apple TV: sfide e limitazioni

OpenWrt sul router supporta WireGuard out of the box — pacchetto kmod-wireguard + wireguard-tools. Questa è la migliore opzione per smart TV e set-top box: tutto il traffico nella rete passa attraverso il tunnel senza installare app su ogni dispositivo.

Le versioni stock dei router — Asus, TP-Link, Keenetic — alcune modelli supportano WireGuard nelle versioni firmware recenti. Keenetic, ad esempio, ha aggiunto supporto nativo nelle versioni firmware 3.x. Controllate la documentazione del vostro modello.

Apple TV e la maggior parte delle Smart TV (LG, Samsung) — non c'è e non ci sarà un client nativo. L'unica opzione senza router è il Personal Hotspot con iPhone, dove il tunnel è già attivo. Funziona, ma è scomodo.

Doppio NAT quando si avvia il proprio server — un dolore a parte. Se il VPS è dietro NAT presso il provider (e alcuni VPS economici sono proprio così), è necessario un port forwarding UDP. Questo è risolvibile tramite le impostazioni nel pannello di controllo del provider, ma richiede tempo aggiuntivo per la configurazione.

Bypassare i blocchi di YouTube, Instagram e Telegram tramite WireGuard

Domanda pratica: funziona adesso, a metà del 2026?

Funziona WireGuard puro per YouTube e Instagram

Dipende dall'operatore. Su internet domestico, alcuni provider — sì, si avvia senza problemi e offre una buona velocità per YouTube 4K, Instagram, TikTok, Facebook, Twitter/X, Telegram. Altri — la connessione non si stabilisce o funziona con velocità limitata.

Gli operatori mobili in Russia — sono un caso a parte. MegaFon e MTS storicamente tagliano il traffico VPN in modo più aggressivo. Beeline può essere più indulgente. Tutto cambia, e ciò che funzionava tre mesi fa potrebbe smettere di funzionare oggi dopo un aggiornamento delle regole TSPU.

Cosa fare con il rallentamento di YouTube

Se YouTube si apre, ma si blocca durante la buffering — per prima cosa controllate se il tunnel stesso funziona (ping attraverso il tunnel verso un IP esterno). Se il ping è normale, ma YouTube è lento — probabilmente il throttling avviene proprio sul traffico di YouTube, non sul VPN. Alcuni provider lo fanno in modo mirato tramite blocchi BGP, senza toccare il tunnel stesso.

In questo caso, il VPN aiuta solo se il traffico passa attraverso un server che non è nella blacklist. Controllate che nelle impostazioni del tunnel abbiate AllowedIPs = 0.0.0.0/0 (tutto il traffico attraverso il tunnel), e non solo una parte degli indirizzi.

Quando è necessario un protocollo offuscato invece di WireGuard

Segni che è ora di cambiare protocollo: handshake non passa affatto (timeout), la connessione si stabilisce ma si interrompe ogni 1–2 minuti, la velocità è costantemente inferiore a 5 Mbit/s su un canale normale.

Qui aiuta AmneziaWG — se il vostro provider VPN o il vostro server VPS ha supporto, questo è il primo passo. Il client Amnezia VPN supporta diversi protocolli in un'unica interfaccia. Se anche AmneziaWG viene bloccato — è tempo di guardare verso VLESS+Reality o Shadowsocks-2022.

I servizi pronti, incluso NvoVPN, offrono solitamente diversi protocolli: sia WireGuard che opzioni offuscate. Questo è comodo — non è necessario districarsi nella configurazione del server XRay, solo per guardare YouTube.

WireGuard o alternativa: cosa scegliere nel 2026

Risposta onesta: per la maggior parte degli utenti wireguard 2026 — un buon punto di partenza, ma non una soluzione finale per la realtà russa.

Quando WireGuard è la scelta migliore

Se il provider non lo blocca — prendetelo senza esitazioni. Massima velocità, minima latenza, configurazione semplicissima. Funziona bene al di fuori della Russia e per VPN aziendali senza DPI severo.

Quando è opportuno scegliere AmneziaWG, VLESS o Shadowsocks

AmneziaWG è la prima scelta se WireGuard viene rilevato. Sono modifiche minime con un effetto massimo: la stessa interfaccia, le stesse velocità, ma il traffico appare come spazzatura per il DPI.

VLESS con Reality è quando è necessaria la massima resilienza. Il traffico è indistinguibile dal TLS legittimo. Ma questo richiede già la configurazione del server XRay o 3x-ui, il che per un utente non preparato significa diverse ore con la documentazione.

Shadowsocks-2022 è un buon equilibrio. Più facile da configurare rispetto a VLESS, funziona su TCP, gestisce i blocchi UDP. La velocità è leggermente inferiore a WireGuard, ma è comunque accettabile per lo streaming.

Il proprio server o un servizio VPN pronto

Il proprio VPS significa controllo e privacy. Sai dove va il tuo traffico. Ma comporta anche responsabilità: aggiornamenti, monitoraggio, cambio server se l'host blocca l'IP. Il costo del VPS per questi compiti va da €3 a €7 al mese per la Finlandia o i Paesi Bassi.

Un servizio pronto è più comodo: diversi protocolli, applicazioni pronte, supporto. Il compromesso è che ti fidi del fornitore. Scegli quelli che dicono onestamente quali protocolli offrono e se ci sono log.