Come configuro WireGuard su Android?

Installa l'app ufficiale WireGuard dal Play Store o F-Droid, quindi aggiungi un tunnel. Il modo più semplice è scansionare un codice QR generato dal tuo server (il 'pivpn -qr' di PiVPN, NetBird o una configurazione manuale con qrencode), che importa l'intera configurazione in un solo passaggio. In alternativa, importa un file .conf. Attiva il tunnel e sei connesso. WireGuard necessita di un endpoint server a cui connettersi — un Raspberry Pi o un VPS economico — è la metà client di una VPN autogestita.

Come importo una configurazione WireGuard su Android?

Tre modi nel menu '+' dell'app: (1) Scansiona da codice QR — il più veloce; il tuo server può generare la configurazione client come QR. (2) Importa da file — copia il .conf sul telefono e selezionalo. (3) Crea da zero — incolla manualmente le chiavi e l'endpoint [Peer]. Il QR è di gran lunga il meno soggetto a errori. Dopo l'importazione, verifica che i campi DNS e Endpoint del tunnel siano corretti prima di connetterti.

Android ha un kill switch per WireGuard?

Sì, tramite le funzioni integrate di Android 'VPN sempre attiva' e 'Blocca connessioni senza VPN' in Impostazioni > Rete e internet > VPN > (icona ingranaggio accanto a WireGuard). Abilita entrambe in modo che il dispositivo non invii mai traffico al di fuori del tunnel se WireGuard si disconnette. L'app WireGuard stessa ti consente anche di impostare opzioni per tunnel. Combinare sempre attivo con blocco senza VPN è l'equivalente Android di un kill switch.

Come uso il tunneling diviso in WireGuard su Android?

Apri il tunnel nell'app WireGuard, modificalo e sotto 'Applicazioni' scegli di includere o escludere app specifiche. 'Escludi' instrada tutto attraverso il tunnel tranne le app che scegli (utile per un'app bancaria che non gradisce le VPN); 'includi' instrada solo le app scelte. Questo tunneling diviso per app è integrato nel client Android e non necessita di software aggiuntivo.

Perché il mio tunnel WireGuard non si connette su Android (nessun handshake)?

Le cause più comuni: un Endpoint IP/porta errato o la porta UDP del server non aperta nel firewall; una chiave pubblica non corrispondente tra client e server; o un grande scarto di orologio. Controlla che il campo ultimo handshake rimanga su 'mai' — in tal caso, verifica che il server stia ascoltando sulla porta UDP corretta e sia raggiungibile. Se si connette ma le pagine non si caricano, abbassa l'MTU (es. a 1280) nella configurazione dell'interfaccia, che risolve molti problemi di MTU su reti mobili.

WireGuard su Android: Guida Completa all'Installazione (2026)

WireGuard è il protocollo VPN più veloce e semplice da utilizzare su un telefono — una volta configurato, la connessione avviene con un solo tocco e consuma meno batteria rispetto ai protocolli più vecchi. Questa guida ti accompagna passo passo nell'uso di WireGuard su Android nel 2026: installazione dell'app, importazione della configurazione del server, abilitazione del kill switch, tunneling diviso per app e risoluzione dei problemi di handshake e MTU. Funziona con qualsiasi server WireGuard — PiVPN, NetBird o una configurazione manuale.

Cosa ti serve prima di iniziare

Un telefono o tablet Android con Android 10 o successivo (le versioni più vecchie funzionano, ma le opzioni sempre attive/kill switch sono più chiare nelle versioni recenti).
Un server WireGuard attivo con un endpoint pubblico raggiungibile — un Raspberry Pi a casa con una porta UDP inoltrata, o un piccolo VPS. L'app Android è solo il client.
La configurazione client per questo dispositivo — un codice QR sullo schermo o un file .conf. Fornisci a ciascun dispositivo la propria coppia di chiavi; riutilizzare una configurazione su più telefoni interrompe l'handshake poiché due peer condividono una chiave pubblica.

Passo 1 — Installa l'app

Installa l'app ufficiale WireGuard dal Play Store o F-Droid (build open-source). Evita i cloni "WireGuard" di terze parti.

Play Store o F-Droid?

Entrambi offrono lo stesso client ufficiale. La versione del Play Store si aggiorna automaticamente ed è adatta alla maggior parte delle persone. La versione F-Droid è compilata da F-Droid, non ha dipendenze Google ed è adatta a un telefono senza Google — il compromesso è che gli aggiornamenti arrivano un po' più lentamente. Entrambi sono affidabili; evita solo le app simili di editori sconosciuti, poiché un client VPN gestisce tutto il tuo traffico.

Passo 2 — Importa la configurazione del tuo server

Nell'app, tocca + e scegli una delle seguenti opzioni:

Scansiona da codice QR — il metodo più veloce e meno soggetto a errori. Il tuo server genera la configurazione client come QR (pivpn -qr, l'app di NetBird o qrencode su una configurazione manuale).
Importa da file — copia il .conf sul telefono e selezionalo.
Crea da zero — incolla manualmente le chiavi e l'endpoint [Peer].

WireGuard è la metà client; ha bisogno di un endpoint server. Se non ne hai uno, un VPS Contabo a €4,99/mese gestisce comodamente un server WireGuard personale.

Linee di codice sorgente su uno schermo scuro

Passo 3 — Connetti e verifica

Attiva il tunnel. Controlla che l'ultimo handshake si aggiorni (non "mai") e che il tuo IP pubblico cambi. Per ulteriori informazioni sul protocollo, vedi WireGuard vs OpenVPN.

Passo 4 — Abilita un kill switch (sempre attivo)

Android ha questa funzione integrata: Impostazioni > Rete e internet > VPN > (ingranaggio accanto a WireGuard) → abilita VPN sempre attiva e Blocca connessioni senza VPN. Ora il telefono non perde mai traffico al di fuori del tunnel se WireGuard si disconnette — l'equivalente Android di un kill switch.

Passo 5 — Tunneling diviso per app

Modifica il tunnel → Applicazioni → Escludi app (tutto passa attraverso il tunnel tranne quelle — utile per un'app bancaria) o Includi solo le app scelte. Integrato nel client, nessun software aggiuntivo necessario.

Routing a livello di rete: IP consentiti

Il tunneling diviso per app (Passo 5) decide quali app usano il tunnel. AllowedIPs nella configurazione [Peer] decide quali destinazioni lo fanno — e i due si combinano:

0.0.0.0/0, ::/0 instrada tutto il traffico IPv4 e IPv6 attraverso il tuo server — l'impostazione predefinita del tunnel completo che desideri per la privacy su Wi-Fi pubblico.
Un intervallo ristretto come 10.0.0.0/24 invia solo la tua sottorete domestica/aziendale attraverso il tunnel, lasciando il resto del traffico sulla connessione normale — perfetto per raggiungere un NAS domestico o Pi-hole senza rallentare tutto.

Se esegui un tunnel completo ma vuoi comunque stampare o trasmettere a casa, il percorso più pulito è mantenere quei dispositivi sulla LAN e utilizzare l'esclusione per app per l'app di trasmissione, poiché il client Android non ha l'opzione "escludi IP privati" di iOS.

Risoluzione dei problemi

Nessun handshake (rimane "mai"): IP/porta Endpoint errati, porta UDP del server non aperta nel firewall, o una chiave pubblica non corrispondente. Verifica che il server stia ascoltando e sia raggiungibile.
Si connette ma nessun internet: abbassa l'MTU (es. 1280) nella configurazione dell'interfaccia — risolve molti problemi di MTU su reti mobili.
Si disconnette a schermo spento: disabilita l'ottimizzazione della batteria per l'app WireGuard (Impostazioni → App → WireGuard → Batteria → Non limitata).
Perdite DNS: imposta il DNS del tunnel sul tuo server o su un resolver affidabile, quindi testa con la nostra guida alle perdite DNS.
"Sempre attivo" disattivato: Android consente sempre attivo solo dopo che un tunnel è stato importato correttamente e connesso almeno una volta — connettiti manualmente prima, poi impostalo.
Riconnessione lenta dopo il passaggio Wi-Fi↔mobile: aggiungi PersistentKeepalive = 25 al [Peer] in modo che il tunnel mantenga il percorso attivo attraverso i cambiamenti di rete e dietro NAT.

Per modelli riutilizzabili client/server, vedi Modelli di configurazione WireGuard.

In sintesi

WireGuard su Android è un'installazione di cinque minuti: installa l'app ufficiale, importa la configurazione del tuo server tramite QR, attiva e abilita sempre attivo + blocco senza VPN per un kill switch. Aggiungi il tunneling diviso per app se necessario e tieni a mente il trucco dell'MTU per reti mobili instabili. Hai solo bisogno di un server WireGuard a cui puntare — un VPS Contabo o un Raspberry Pi domestico fanno al caso tuo.

Guida editoriale basata sul comportamento documentato del client ufficiale WireGuard per Android e sulle funzionalità VPN sempre attive di Android. La sicurezza dipende dalla configurazione del tuo server e dall'igiene delle chiavi. I link commerciali portano l'attributo rel="sponsored nofollow"; potrebbe applicarsi una commissione affiliata senza costi aggiuntivi per te.

★ Datacenter GDPR di Norimberga · ✓ IPv4 dedicato incluso · 200+ Mbps garantiti

Self-host your VPN on your own VPS → ContaboFull root access · public IPv4 · pick your region→