WireGuard funziona in Cina senza offuscamento?

No. Il GFW identifica distintamente l'handshake di WireGuard e interrompe il traffico entro pochi secondi. L'offuscamento TLS/WS è obbligatorio per la Cina continentale e l'Iran.

V2Ray vs Cloak, quale dovrei scegliere?

V2Ray + WS + TLS (Trojan-Go) per la Cina = passa quasi ovunque, attivamente mantenuto. Cloak è più semplice da configurare, OK per Iran/Turchia ma rilevato più velocemente in Cina.

È legale usare questi strumenti?

Nell'UE/US/Francia: sì. In Cina/Iran/Russia: illegale localmente, con penalità variabili. Questa guida è educativa — sei tu il solo responsabile dell'uso.

Instradamento VPN personalizzato su Contabo: bypass DPI Iran / Cina 2026

Divulgazione affiliata — Questo articolo contiene link affiliati (Contabo, NordVPN). Se ordini un VPS o un abbonamento tramite i nostri link, guadagniamo una commissione senza costi aggiuntivi per te. Non influenza il contenuto: documentiamo ciò che effettivamente utilizziamo in produzione, anche quando un prodotto affiliato non si adatta al tuo caso.

Hai seguito la nostra guida per ospitare WireGuard su Contabo, funziona perfettamente da Parigi o Berlino, e poi voli a Shanghai o Teheran per due settimane. Sorpresa: il tunnel si connette per 3 secondi, poi silenzio. Nessun timeout pulito, solo pacchetti persi. Benvenuto nel Deep Packet Inspection (DPI), dove i firewall nazionali identificano WireGuard fino al byte.

Questa guida spiega perché WireGuard semplice viene schiacciato dal GFW (Great Firewall of China) o SmartFilter (Iran), e fornisce 3 configurazioni testate su un VPS Contabo per passare: V2Ray + WebSocket + TLS, Cloak come frontend, e Shadowsocks 2022. Nessuna è magica — ognuna comporta un costo in latenza, throughput e complessità — ma una delle tre funziona quasi sempre a seconda del paese.

Come funziona il Deep Packet Inspection

Un firewall classico filtra su IP di origine/destinazione e porta. Il DPI va oltre: ispeziona il contenuto dei pacchetti, identifica il protocollo indipendentemente dalla porta e applica regole. I tre censori noti nel 2026:

GFW (Cina continentale) — Il più sofisticato. Combina il matching delle firme (pattern di handshake), l'analisi dell'entropia (un pacchetto crittografato ha un'entropia specifica), il probing attivo (il firewall apre una connessione in uscita al tuo server per testarne il comportamento) e l'apprendimento automatico sul timing tra pacchetti. Lavoro di riferimento: Hoang et al., "How Great is the Great Firewall?" (USENIX Security 2021) e i dati live su GFW Report.
SmartFilter (Iran, TCI) — Meno sofisticato del GFW ma aggressivo. Blocca su firme conosciute (OpenVPN, WireGuard, IKEv2) e limita i flussi TLS sospetti verso IP non in whitelist. Durante i disordini (settembre 2022, novembre 2024), passa alla modalità "internet quasi chiuso" con una whitelist di soli IP domestici.
TSPU (Russia, Roskomnadzor) — Distribuito dal 2021, in aumento. Blocca progressivamente Tor, OpenVPN, WireGuard. Più tollerante sui flussi TLS verso Cloudflare, ma cambia ogni mese.

L'handshake iniziale di WireGuard è distintamente identificabile: 148 byte, struttura fissa (tipo di messaggio 1), nessun padding. Un DPI moderno lo individua in <50 ms. Ecco perché WireGuard semplice funziona ovunque... tranne dove ne hai effettivamente bisogno.

L'obiettivo delle tre configurazioni seguenti: rendere il traffico VPN indistinguibile dal traffico HTTPS legittimo verso un dominio dall'aspetto residenziale. Se il firewall non può distinguere il tuo flusso da una sessione CDN di Cloudflare, non può bloccare senza danni collaterali.

Configurazione 1 — V2Ray + WebSocket + TLS (Trojan-Go) su Contabo

Questa è la nostra scelta predefinita per la Cina. Il traffico sembra quello di un visitatore che naviga un sito WordPress su HTTPS. Il GFW può rilevare WebSocket con un'analisi temporale a lungo termine, ma la combinazione TLS 1.3 + SNI reale + reverse-proxy (Caddy) rende molto difficile filtrare senza danni collaterali.

Prerequisiti:

Un VPS Contabo S (€4,99/mese) — Datacenter di Singapore o Tokyo per una latenza accettabile verso la Cina (~50-80 ms contro 250 ms dall'Europa). Se non hai ancora un VPS, controlla l'offerta Contabo VPS S 24 mesi.
Un dominio reale che controlli (es. cdn.yourdomain.com) puntato all'IP del VPS. Nessun dominio = nessun TLS = nessun bypass.
Proxy DNS Cloudflare (nuvola arancione), opzionale ma consigliato per mascherare l'IP di origine.

Installazione (Ubuntu 24.04 LTS, come root):

# 1. Caddy reverse proxy + certificato Let's Encrypt automatico
apt update && apt install -y debian-keyring debian-archive-keyring apt-transport-https
curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/gpg.key' | gpg --dearmor -o /usr/share/keyrings/caddy-stable-archive-keyring.gpg
curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/debian.deb.txt' | tee /etc/apt/sources.list.d/caddy-stable.list
apt update && apt install -y caddy

# 2. V2Ray
bash <(curl -L https://raw.githubusercontent.com/v2fly/fhs-install-v2ray/master/install-release.sh)

Configura /usr/local/etc/v2ray/config.json:

{
  "inbounds": [{
    "port": 10000,
    "listen": "127.0.0.1",
    "protocol": "vmess",
    "settings": {
      "clients": [{ "id": "UUID-GENERATED-WITH-uuidgen", "alterId": 0 }]
    },
    "streamSettings": {
      "network": "ws",
      "wsSettings": { "path": "/cdn-static/v3/assets" }
    }
  }],
  "outbounds": [{ "protocol": "freedom" }]
}

Configura Caddy /etc/caddy/Caddyfile:

cdn.yourdomain.com {
  root * /var/www/html
  file_server
  handle /cdn-static/v3/assets {
    reverse_proxy 127.0.0.1:10000
  }
}

Inserisci una vera pagina HTML statica in /var/www/html/index.html (un blog di cucina, un portfolio falso — non importa, deve sembrare legittimo quando il GFW sonda il tuo dominio). Abilita:

systemctl enable --now caddy v2ray

Sul client (V2RayN su Windows, V2Box su iOS, v2rayNG su Android), configura un server VMess WS+TLS puntato a cdn.yourdomain.com:443, percorso /cdn-static/v3/assets, stesso UUID. Test: apri il client in Cina, il traffico dovrebbe fluire senza interruzioni.

Sovraccarico previsto dalla Cina tramite un VPS a Singapore: incapsulare WireGuard in V2Ray/TLS aggiunge latenza e riduce circa della metà il throughput rispetto a WireGuard semplice — va bene per navigare, mediocre per lo streaming HD. Misura il tuo percorso per numeri esatti.

Configurazione 2 — Cloak (frontend per WireGuard / OpenVPN)

Cloak è un wrapper TLS più semplice di V2Ray, che si posiziona davanti a un tunnel esistente (WireGuard, OpenVPN, Shadowsocks). Per chi ha già una configurazione WireGuard funzionante e vuole solo aggiungere un livello di offuscamento: questo è il percorso più veloce.

Pro:

Configurazione in 15 minuti, nessuna gestione complessa di dominio/TLS (certificato ACME automatico integrato).
Funziona bene in Iran e Turchia dove il DPI è meno aggressivo del GFW.
Basso impatto sulla CPU: ~5% di una vCPU per 100 Mbps di traffico.

Contro:

Il GFW può rilevare Cloak con analisi comportamentale (pattern temporali specifici). Abbiamo visto connessioni durare 3-7 giorni per poi essere bloccate in Cina continentale.
Meno attivamente mantenuto rispetto a V2Ray (ultimo commit importante 2023). Non morto, ma evoluzione lenta.

Installazione server:

wget https://github.com/cbeuw/Cloak/releases/download/v2.7.0/ck-server-linux-amd64-v2.7.0
chmod +x ck-server-linux-amd64-v2.7.0 && mv $_ /usr/local/bin/ck-server
ck-server -k  # genera coppia di chiavi

Crea /etc/cloak/ckserver.json:

{
  "ProxyBook": {
    "wireguard": ["udp", "127.0.0.1:51820"]
  },
  "BindAddr": [":443"],
  "BypassUID": ["GENERATED-UID"],
  "RedirAddr": "www.bing.com",
  "PrivateKey": "YOUR-PRIVATE-KEY"
}

RedirAddr è fondamentale: se il firewall sonda il tuo server senza una stretta di mano Cloak valida, viene reindirizzato a www.bing.com (camuffamento). Scegli un dominio popolare, non nella blacklist del paese di destinazione (evita Google in Cina).

Avvia:

systemctl enable --now ck-server

Sul client, l'app ck-client (binario disponibile per Linux/macOS/Win/Android) prende la stessa configurazione più la PublicKey corrispondente. Il tunnel WireGuard viene quindi stabilito sopra Cloak — dall'app WireGuard, il tuo endpoint punta a 127.0.0.1:local-cloak-port invece dell'IP del VPS.

Configurazione 3 — Shadowsocks 2022 (chacha20-ietf-poly1305)

Codice sorgente in un editor di terminale

Shadowsocks è l'antenato degli strumenti anti-censura (creato da "clowwindy" in Cina nel 2012). La versione 2022 (specifica ufficiale) corregge diverse debolezze crittografiche della v1 ed è ancora raccomandata dagli utenti cinesi per il suo rapporto semplicità/prestazioni.

Caso d'uso ideale:

Iran, Turchia, UAE — passa quasi sempre.
Cina continentale come backup quando V2Ray ha una giornata storta.
Vuoi una configurazione leggera (binario da 5 MB, configurazione da 10 righe).

Limiti onesti:

Senza un plugin TLS (v2ray-plugin), Shadowsocks 2022 rimane rilevabile dal GFW tramite analisi statistica dell'entropia. Lo consigliamo con v2ray-plugin abilitato.
Se vuoi una configurazione "imposta e dimentica" che sopravviva agli aggiornamenti del GFW: scegli V2Ray.

Installazione:

apt install -y shadowsocks-libev v2ray-plugin

Configura /etc/shadowsocks-libev/config.json:

{
  "server": "0.0.0.0",
  "server_port": 8443,
  "password": "STRONG-PASSWORD-32-CHARS",
  "method": "chacha20-ietf-poly1305",
  "plugin": "v2ray-plugin",
  "plugin_opts": "server;tls;host=cdn.yourdomain.com;path=/api/v2"
}

systemctl enable --now shadowsocks-libev

Sul client: Outline (Google Jigsaw) o Shadowrocket (iOS) supportano nativamente SS 2022 + v2ray-plugin. Importa l'URI generato ss://... e sei connesso.

Quale configurazione per quale paese

Tabella basata su test reali (Q4 2025 / Q1 2026) da account locali e VPS di salto. Le valutazioni cambiano rapidamente — verifica sempre con GFW Report prima di viaggiare.

Paese	V2Ray WS+TLS	Cloak	Shadowsocks 2022	Note
Cina continentale	Eccellente	Medio	Medio	V2Ray = predefinito. SS solo con v2ray-plugin.
Iran	Eccellente	Eccellente	Buono	Tutti passano al di fuori dei periodi di blackout.
Russia	Buono	Medio	Medio	Blocco TSPU progressivo, varia le porte.
Turchia	Eccellente	Eccellente	Eccellente	DPI non aggressivo tranne che durante le elezioni.
UAE	Eccellente	Eccellente	Buono	VoIP bloccato, il tunnel passa.
Arabia Saudita	Buono	Buono	Buono	Meno sofisticato, ma molti blocchi tematici.

Per viaggi di lavoro in Cina, pianifichiamo sempre un backup: V2Ray primario + Shadowsocks 2022 secondario su due VPS diversi (idealmente in datacenter diversi). Se uno cade, l'altro tiene.

Sovraccarico delle prestazioni

Ogni strato di offuscamento aggiunge latenza e costo CPU e riduce il throughput rispetto a WireGuard semplice. La tabella seguente mostra il compromesso relativo — esegui iperf3 dal tuo client per numeri esatti:

Metodo	Latenza aggiunta	Throughput vs WireGuard semplice	CPU server
WireGuard semplice (baseline)	più bassa	più alta	più bassa
V2Ray WS + TLS	più alta	notevolmente più bassa	più alta
Cloak + WireGuard	moderata	più bassa	più alta
Shadowsocks 2022 + v2ray-plugin	moderata	più bassa	più alta

Conclusione pragmatica: aspettati di perdere circa il 40-55% del throughput massimo rispetto a WireGuard semplice. È normale — ogni strato TLS + WS aggiunge sovraccarico, e la doppia incapsulazione (Cloak) raddoppia gli header. Per navigare e videochiamate a 720p, tutti vanno bene. Per il 4K, avrai bisogno di un VPS più potente (VPS M o Cloud VPS 10).

Quando una VPN commerciale offuscata è più semplice

Onestà editoriale: se vai in Cina per due settimane e non vuoi debuggare Caddy a mezzanotte da un hotel, una VPN commerciale con server offuscati è più efficiente in termini di tempo. Il nostro riferimento in quella categoria: NordVPN con i suoi server offuscati.

I pro:

App mobili native, kill switch automatico, supporto chat 24/7.
Offuscamento abilitato in 2 clic (impostazioni avanzate → server offuscati).
Funziona nell'80% dei casi in Cina. Quando si rompe, aggiornano i loro server entro pochi giorni.

I contro:

Condividi l'IP con altri utenti (cattivo per Stripe/Cloudflare fuori dalla Cina).
Il prezzo raddoppia al rinnovo (vedi la nostra analisi dei costi a 5 anni).
In Iran durante un blackout, anche NordVPN cade — solo una configurazione self-hosted con rotazione IP tiene.

La combinazione NordVPN per viaggi occasionali + Contabo self-host per la vita quotidiana è il miglior compromesso per la maggior parte dei nomadi digitali che si spostano in Asia o Medio Oriente.

Ulteriori letture

Fonti accademiche e tecniche:

Hoang, Niaki, Dalek, Cable, Gill, Polychronakis, "How Great is the Great Firewall? Measuring China's DNS Censorship", USENIX Security 2021
Specificazione Shadowsocks 2022 (SIP022)
Documentazione ufficiale V2Fly
GFW Report — dati di blocco live
Repository GitHub di Cloak

Articolo pubblicato il 2026-06-02, basato su test reali nel Q1 2026. Le tecniche anti-DPI evolvono costantemente: ciò che funziona oggi potrebbe rompersi in 6 mesi. Se noti un cambiamento nel comportamento di GFW o SmartFilter, scrivici a contact@vpnsmith.com — aggiorneremo.

Nota legale: ospitare una VPN è legale nell'UE, negli Stati Uniti e in Canada. In Cina, Iran, Russia, UAE, l'uso di tunnel non autorizzati è illegale localmente (penalità variabili, da multe a prigione). VPNSmith pubblica questo contenuto a scopo educativo; sei tu il solo responsabile del tuo utilizzo.

★ Datacenter GDPR di Norimberga · ✓ IPv4 dedicato incluso · 200+ Mbps garantiti

Self-host your VPN on your own VPS → ContaboFull root access · public IPv4 · pick your region→