Una VPN self-hosted su un VPS no-KYC in un paese favorevole alla privacy è uno degli upgrade di privacy più convenienti del 2026. Per meno di $10 al mese sostituite un provider VPN commerciale — la cui policy di logging dovete prendere per buona — con una configurazione in cui il confine di fiducia è il vostro. I due protocolli che vale la pena eseguire oggi sono WireGuard e OpenVPN. Sembrano intercambiabili da una pagina di marketing; non lo sono. Questa guida illustra le differenze reali, i gotcha di configurazione che contano e le buone pratiche operative che mantengono la macchina utile per anni.
Perché self-hosting anziché una VPN commerciale?
Il confine di fiducia si sposta da voi
Un provider VPN commerciale vede ogni sito che visitate. La sua privacy policy è una promessa — verificabile solo nel senso più lasso, anche con audit no-logs pubblici. Quando fate self-hosting, l'unica entità che vede il vostro traffico a livello VPN siete voi. L'host sa che l'IP esiste e che il traffico scorre; ciò che c'è dentro il tunnel è opaco per lui.
Niente KYC, niente reputazione dell'exit IP condiviso
Gli exit IP delle VPN commerciali vengono continuamente messi in blocklist. Nel 2026, gli indirizzi IP della maggior parte dei principali provider sono segnalati da Cloudflare, dai captcha di Google, dai sistemi antifrode dei servizi finanziari e dai geofence dello streaming. Un endpoint self-hosted su un IP datacenter nuovo senza storia raramente incappa in nessuno di questi problemi — fino a quando non lo abusate, a quel punto l'IP diventa bruciato e ne create uno nuovo.
Costo
VPN commerciale: $5–$13 per utente al mese. Self-hosted su un VPS da 1 GB / 1 vCPU: $5–$8 al mese, a supporto di un'intera famiglia con WireGuard che raggiunge facilmente 200 Mbps. Il punto di pareggio è a un utente.
Cosa si perde
La selezione multi-paese dell'exit. Una VPN commerciale offre 50+ paesi di uscita con un clic; il self-hosting offre esattamente il paese in cui si trova il vostro VPS. La soluzione è attivare due o tre macchine in giurisdizioni diverse — comunque più economico del commerciale.
WireGuard vs OpenVPN: confronto a livello di protocollo
WireGuard in sintesi
WireGuard è un moderno protocollo VPN progettato da Jason Donenfeld, inserito nel kernel Linux nel marzo 2020. Codebase: circa 4.000 righe di C (rispetto alle ~70.000 di OpenVPN). Gira in kernel space su Linux, il che è la principale fonte del vantaggio di velocità. La crittografia è fissa: ChaCha20-Poly1305 per la cifratura simmetrica, Curve25519 per lo scambio di chiavi, BLAKE2s per l'hashing, nessuna negoziazione dell'algoritmo. La configurazione è un file di testo di 4–10 righe.
OpenVPN in sintesi
OpenVPN è lo standard consolidato, in produzione dal 2001. Gira in user space, usa OpenSSL o mbedTLS per la crittografia, supporta una vasta gamma di cifrari e metodi di autenticazione ed è configurabile all'estremo. Supporto nativo per il trasporto TCP (essenziale per alcune reti ristrette dove UDP è bloccato), autenticazione client TLS basata su certificati e auth pluggabile PAM/RADIUS. Tooling maturo, facile da scriptare, facile da verificare, gotcha operativi ben documentati.
Confronto diretto
| Dimensione | WireGuard | OpenVPN |
|---|---|---|
| Dimensione codebase | ~4.000 righe | ~70.000 righe + OpenSSL |
| Throughput su link 1 Gbps | ~95% line rate (~940 Mbps) | ~50–70% line rate (500–700 Mbps) |
| Tempo di handshake | ~1 RTT | ~6 RTT |
| Porta UDP predefinita | 51820 | 1194 |
| Fallback TCP | No (usare udp2raw o wstunnel) | Sì, nativo |
| Agilità crittografica | Nessuna (suite fissa) | Completa |
| Impatto batteria mobile | Basso (kernel + roaming-friendly) | Moderato |
| Offuscamento | Esterno (udp2raw, awg) | obfsproxy, stunnel, tls-crypt-v2 |
| Superficie di verifica | Piccola, formalmente verificata | Grande, ben revisionata |
| Maturità operativa | Solida dal 2021 | Solida dal ~2008 |
I numeri di throughput, spiegati
Su un VPS da $10 con un singolo vCPU e un link condiviso da 1 Gbps, WireGuard satura il link fino a raggiungere il bandwidth shaper dell'host o il collo di bottiglia della CPU dello stack di rete in user space — tipicamente 800–940 Mbps nel 2026. OpenVPN sullo stesso hardware si stabilizza intorno ai 500–650 Mbps a causa dell'overhead TLS e del costo dei context-switch in user space. Per un uso domestico con streaming 4K, entrambi sono più che sufficienti. Per uno sviluppatore che scarica immagini container da più gigabyte attraverso il tunnel, WireGuard fa risparmiare tempo reale.
Quando OpenVPN è ancora la scelta giusta
Reti ristrette che bloccano UDP
Le reti di hotel, università e aziende che bloccano il traffico UDP interrompono WireGuard in modo netto. OpenVPN su TCP/443 è indistinguibile da HTTPS a livello L4 e passa attraverso. WireGuard può essere tunnellato su TCP usando udp2raw o wstunnel, ma è un componente aggiuntivo e annulla parte della semplicità di WireGuard.
Necessità di offuscamento intenso
Se avete bisogno di protezione da probing attivo in un paese con blocco VPN basato su deep packet inspection — il Great Firewall cinese, Iran, il recente enforcement russo contro i principali protocolli VPN — OpenVPN con stunnel o obfs4 ha un track record più lungo. La soluzione WireGuard (AmneziaWG è il fork offuscato più attivamente sviluppato) funziona, ma l'ecosistema è più giovane.
Autenticazione granulare per utente
Se gestite una VPN per un piccolo team e avete bisogno di revocare singoli utenti, il modello PKI di OpenVPN (ogni utente riceve un certificato, revoca tramite CRL) è più ergonomico dell'approccio WireGuard "modifica la configurazione e ricarica".
Quando WireGuard è la scelta giusta
Per quasi tutto il resto: VPN personale, VPN domestica, VPN mobile con frequenti cambi di rete, tunnel sensibili alle prestazioni, dispositivi a basso consumo e qualsiasi setup in cui la semplicità riduce il rischio operativo. La configurazione di 4 righe significa che la superficie di errore è minima — una causa comune di leak di privacy con OpenVPN è lasciare la compressione attivata (CRIME) o usare cifrari obsoleti perché la configurazione è intimidatoria.
Client mobile
Il comportamento di roaming di WireGuard — ristabilire silenziosamente il tunnel quando la rete sottostante cambia — è molto più fluido rispetto a OpenVPN, dove le riconnessioni spesso interrompono le app. Su mobile, anche la differenza d'impatto sulla batteria è reale: l'efficienza di WireGuard a livello kernel risparmia punti percentuali misurabili di batteria giornaliera su un telefono con VPN sempre attiva.
Gotcha di configurazione che bruciano
MTU clamping
Entrambi i protocolli aggiungono overhead a ogni pacchetto (circa 60 byte per WireGuard, di più per OpenVPN). Se il MTU della rete sottostante è 1500 e il MTU interno rimane a 1500, i pacchetti grandi vengono frammentati o scartati — il sintomo è "le cose piccole funzionano, i trasferimenti grandi si bloccano". Correzione sul server VPS: iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu. WireGuard ha un certo auto-tuning, ma gli scenari TCP-su-UDP-su-TCP possono ancora mordere.
Abuso della porta 25 e il problema della reputazione spam
La maggior parte degli host affidabili blocca il TCP/25 in uscita per impostazione predefinita — senza di esso, un VPS compromesso diventa un relay spam in poche ore. Nel 2026, praticamente ogni provider offshore blocca la porta 25 sugli IP condivisi. Non cercate di aggirarlo; se avete davvero bisogno di SMTP, richiedete un IP con reputazione statica e accettate l'onboarding più lungo. Eseguite il vostro endpoint VPN sull'IP predefinito e il vostro mail server altrove.
Reputazione ASN
Gli ASN datacenter ricevono progressivamente più pressione captcha da Cloudflare, Google e dalla maggior parte dei sistemi antifrode. Gli ASN datacenter offshore boutique (range IP piccoli/medi in Islanda, Moldova, Panama) hanno spesso una reputazione più pulita rispetto agli ASN dei grandi cloud consumer. Scegliete l'host di conseguenza. Per ulteriori informazioni, consultate il caso d'uso VPN hosting.
Killswitch — PostUp/PostDown
Un killswitch garantisce che se il tunnel VPN cade, il dispositivo smetta di inviare traffico anziché farlo trapelare. WireGuard lo implementa in modo elegante con gli hook PostUp/PreDown nella configurazione — il pattern canonico è PostUp = iptables -I OUTPUT ! -o %i -m mark ! --mark $(wg show %i fwmark) -m addrtype ! --dst-type LOCAL -j REJECT. L'equivalente OpenVPN sono gli script --route-up e --down-pre. Testate il killswitch terminando manualmente il processo VPN e osservando se il traffico continua a scorrere; se sì, il killswitch non è attivo.
DNS leak
Entrambi i protocolli trasportano traffico IP; nessuno dei due instrada automaticamente il DNS attraverso il tunnel. Configurate il client VPN per inviare un server DNS raggiungibile solo attraverso il tunnel (spesso il VPS stesso con unbound o dnscrypt-proxy). Su Linux, installate l'integrazione resolvconf o usate systemd-resolved con il giusto scope. Testate con dnsleaktest.com dopo ogni aggiornamento major del sistema operativo o del client.
IPv6 leak
Se il client ha IPv6 e la VPN trasporta solo IPv4, il traffico IPv6 bypassa il tunnel ed espone il vostro IP reale. Disabilitate IPv6 a livello di dispositivo oppure estendete la configurazione VPN per gestire IPv6 all'interno del tunnel. WireGuard supporta tunnel dual-stack in modo netto; OpenVPN lo fa ugualmente con la configurazione server corretta.
Scegliere il VPS giusto per il compito
Per una VPN self-hosted personale o domestica, il requisito minimo è basso: 1 GB di RAM, 1 vCPU, 20 GB di disco e la capacità di rete per raggiungere la velocità del tunnel desiderata. WireGuard usa a malapena la CPU; OpenVPN beneficia di un core extra se si superano i 500 Mbps. Scegliete prima il paese usando la guida alle giurisdizioni, poi dimensionate la macchina. Sfogliate i piani VPS per opzioni entry-level sotto $10 al mese in sette giurisdizioni, e leggete il caso d'uso VPN hosting per note specifiche sulla configurazione.
Buone pratiche operative
- Ruotate la macchina ogni 6–12 mesi. Gli IP datacenter accumulano bagaglio. Un nuovo VPS con un IP fresco costa $9 e richiede 10 minuti — più economico che combattere i captcha.
- Disabilitate SSH con password. Solo chiave, fail2ban o sshguard, opzionalmente una porta non-22 per ridurre il rumore nei log.
- Eseguite unattended-upgrades. Un host VPN che è un anno indietro con le patch del kernel è più pericoloso di nessuna VPN.
- Monitorate il traffico, non i contenuti. Una semplice installazione di
vnstatvi avvisa quando qualcosa non va — una saturazione improvvisa dell'uplink di solito indica che la macchina viene abusata. - Pagate in crypto, nessun KYC al momento dell'iscrizione. La guida ai pagamenti crypto spiega cosa l'host apprende di voi per ogni scelta di moneta.