Divulgazione affiliati — Questo articolo contiene link affiliati a Contabo e Proton VPN. Se ti abboni tramite questi link, guadagniamo una commissione senza costi aggiuntivi per te. Raccomandiamo solo ciò che effettivamente utilizziamo.
Risposta diretta
WireGuard o OpenVPN? Per la maggior parte delle persone che ospitano una VPN su un VPS personale nel 2026: usa WireGuard. È più veloce (~900 Mbps vs ~680 Mbps su un collegamento da 1 Gbps), consuma meno batteria sui dispositivi mobili (3–5% CPU vs 12–18%), si riconnette quasi istantaneamente dopo i cambiamenti di rete (<200 ms vs 3–5 s) e ha una superficie di attacco più ridotta (~4.000 righe vs ~70.000 righe di codice, audit Cure53 del 2018). Nuovo al protocollo? Vedi cos'è WireGuard per le basi.
Scegli OpenVPN invece se: (a) sei spesso su reti aziendali o alberghiere che bloccano l'uscita UDP — OpenVPN su TCP/443 bypassa la maggior parte di questi firewall; (b) hai bisogno di supportare dispositivi legacy antecedenti al 2018 che non hanno client WireGuard; o (c) i tuoi requisiti di conformità richiedono log di connessione dettagliati.
Il verdetto breve per caso d'uso:
| La tua situazione | Scelta migliore |
|---|---|
| VPN personale auto-ospitata su un VPS | WireGuard |
| Uso mobile quotidiano (cambio Wi-Fi / 4G) | WireGuard |
| Gaming o uso a bassa latenza | WireGuard |
| Firewall aziendale / alberghiero (UDP bloccato) | OpenVPN TCP/443 |
| Dispositivo legacy (Windows 7, vecchio NAS) | OpenVPN |
| Tracciabilità di audit richiesta | OpenVPN |
Raccomandazioni basate sulle caratteristiche documentate di ciascun protocollo (kernel vs userspace, handshake, trasporto) e fonti pubbliche. Per i dati sulla tua connessione, esegui la procedura riproducibile iperf3. Metodologia completa →
Hai digitato "wireguard vs openvpn" in un motore di ricerca e sei finito in un mare di schede tecniche e tabelle di benchmark. Non è quello che ti serve per prendere una decisione. Questa guida è diversa: saltiamo i numeri grezzi (c'è una guida separata ai benchmark riproducibili per quelli) e ci concentriamo sulla domanda pratica — per il tuo caso d'uso specifico, quale protocollo dovresti effettivamente usare?
Risposta breve per gli impazienti: WireGuard per quasi tutto. OpenVPN per due casi limite specifici. Spiegheremo perché e quando si applicano le eccezioni.
La tabella decisionale in 30 secondi
| La tua situazione | Scelta migliore |
|---|---|
| VPN personale auto-ospitata su un VPS | WireGuard |
| Uso mobile quotidiano (cambio Wi-Fi / 4G) | WireGuard |
| Gaming o uso a bassa latenza | WireGuard |
| Firewall aziendale/alberghiero (UDP bloccato) | OpenVPN TCP/443 |
| Dispositivo legacy (Windows 7, vecchio NAS, vecchio router) | OpenVPN |
| Tracciabilità di audit richiesta | OpenVPN |
| Apprendimento, curiosità, costruzione del proprio stack | WireGuard |
Se il tuo caso d'uso rientra nelle righe 4, 5 o 6, leggi attentamente la sezione OpenVPN. Altrimenti, scegli WireGuard.
Cosa fa WireGuard in modo diverso
WireGuard è stato scritto da zero nel 2016 da Jason Donenfeld con un obiettivo: fare meno, ma farlo bene. Il risultato è circa 4.000 righe di codice C che vivono all'interno del kernel Linux stesso. Confrontalo con le ~70.000 righe di OpenVPN che girano in userland.
Questa differenza architettonica ha quattro conseguenze pratiche:
1. Velocità — WireGuard è significativamente più veloce. Poiché WireGuard gira in kernel space, non c'è cambio di contesto tra kernel e userland per ogni pacchetto. Su una tipica connessione a banda larga da 1 Gbps, WireGuard mantiene circa 900 Mbps; OpenVPN UDP gestisce circa 680 Mbps. Il divario si riduce su collegamenti più lenti ma non scompare mai.
2. Batteria — WireGuard consuma meno sui dispositivi mobili. La crittografia consuma circa il 3–5% della CPU su un moderno chip ARM (iPhone 15 Pro, Pixel 8) mentre il tunnel è inattivo o moderato. L'architettura userland di OpenVPN costa continuamente il 12–18%. Su un giorno di utilizzo del telefono di 10 ore, quel delta è visibile — comunemente riportato con circa il 20–30% di consumo in meno con la sincronizzazione in background persistente.
3. Riconnessione — WireGuard è quasi istantaneo. WireGuard è stateless. Non c'è "sessione" da stabilire o ristabilire. Quando il tuo telefono passa dal Wi-Fi della metro al 4G, WireGuard riprende in meno di 200 ms — tipicamente impercettibile. OpenVPN deve rifare un handshake TLS completo, che richiede 3–5 secondi e spesso attiva una fastidiosa notifica di disconnessione.
4. Superficie di sicurezza — WireGuard ha una superficie di attacco minore. 4.000 righe contro 70.000 righe. WireGuard utilizza una suite crittografica fissa e moderna — Curve25519 per lo scambio di chiavi, ChaCha20-Poly1305 per la crittografia, BLAKE2s per l'hashing. Non puoi configurarlo male per usare un cifrario debole, perché non c'è scelta di cifrario. È intenzionale.
Cosa fa OpenVPN in modo diverso
OpenVPN è in produzione dal 2002. Non è un protocollo peggiore — ha una filosofia di design diversa e un diverso set di punti di forza.
Supporto TCP e flessibilità della porta 443. Questa è la caratteristica killer di OpenVPN per scenari specifici. Puoi configurare OpenVPN per ascoltare sulla porta TCP 443, facendo sembrare il tunnel crittografato un normale HTTPS a un firewall. WireGuard è solo UDP. Sebbene ci siano soluzioni alternative (wstunnel, Cloak), aggiungono complessità. Se sei spesso su reti aziendali, Wi-Fi Marriott o hotspot aerei, OpenVPN TCP/443 funziona dove WireGuard è bloccato silenziosamente.
Compatibilità con dispositivi legacy. I client OpenVPN esistono praticamente per ogni piattaforma mai realizzata: Windows XP fino a 11, macOS da 10.10 in poi, Android 4+, iOS, pfSense, DD-WRT, Synology DSM 5+, vecchi router Cisco. Se devi dare accesso al tunnel a una macchina del 2014, OpenVPN è probabilmente l'unica opzione.
Logging e conformità.
OpenVPN produce log dettagliati e strutturati di ogni evento di connessione. WireGuard intenzionalmente non registra quasi nulla — per design. Se il tuo modello di minaccia richiede una traccia di audit (NIS2, ISO 27001, visibilità interna del sysadmin), OpenVPN è più facile da strumentare senza dover intervenire su journalctl.
Confronto fianco a fianco
| Criterio | WireGuard | OpenVPN |
|---|---|---|
| Velocità (link 100 Mbps+) | ~900 Mbps | ~680 Mbps UDP |
| Latenza aggiunta | +18 ms | +29 ms UDP |
| Consumo batteria mobile | Basso (3–5% CPU) | Più alto (12–18% CPU) |
| Riconnessione dopo cambio di rete | <200 ms | 3–5 s (rinnegoziazione TLS) |
| Supporto TCP | No (solo UDP) | Sì (TCP + UDP) |
| Bypass firewall / porta 443 | Richiede wrapper | Nativo |
| Agilità crittografica | Suite fissa (nessuna scelta) | Configurabile (può essere configurato male) |
| Dimensione del codice | ~4.000 righe | ~70.000 righe |
| Supporto OS legacy | Windows 10+, iOS 15+, Android moderno | Praticamente tutto |
| Complessità di configurazione | Bassa | Media |
| Logging dettagliato | Minimo | Verboso |
| Attivo dal | 2017 | 2002 |
WireGuard vince — velocità nella pratica
Il vantaggio di velocità non è solo una curiosità da benchmark. Ecco dove si manifesta nell'uso quotidiano reale:
Streaming e download: Se usi la tua VPN per accedere a una libreria di streaming o scaricare grandi file, il vantaggio di throughput del 25–30% di WireGuard conta. Uno streaming HD a 25 Mbps? Entrambi vanno bene. Uno streaming 4K HEVC a 80 Mbps su una linea da 100 Mbps? WireGuard ti dà margine; OpenVPN è stretto.
Gaming: La latenza conta più del throughput nei giochi. WireGuard aggiunge ~18 ms di RTT mediano; OpenVPN UDP aggiunge ~29 ms. Quei 11 ms di differenza sono il divario tra una partita giocabile e una frustrante in un FPS competitivo. OpenVPN TCP è ancora peggio — i picchi di jitter superano i 50 ms.
VoIP e videochiamate: Stessa storia. Il jitter costante e basso di WireGuard rende Zoom, Teams e Google Meet normali attraverso il tunnel. OpenVPN UDP è accettabile. OpenVPN TCP introduce artefatti audio percepibili in caso di perdita di pacchetti.
OpenVPN vince — quando l'UDP è bloccato
Questo è l'unico scenario in cui OpenVPN è genuinamente migliore, non solo comparabile.
Molte reti aziendali, alcune catene alberghiere e certi ISP nazionali (in paesi con ispezione approfondita dei pacchetti) bloccano l'UDP in uscita tranne che per il DNS (porta 53). WireGuard fallisce silenziosamente in questo ambiente — vedrai il tunnel connettersi sul lato client, ma nessun pacchetto raggiungerà effettivamente il server. Questo non è ovvio da debugare, specialmente per utenti non tecnici.
OpenVPN configurato sulla porta TCP 443 sembra una connessione HTTPS standard al firewall. La maggior parte dei firewall L4 lo lascia passare. Anche molti dispositivi DPI (Fortinet, Palo Alto) necessitano di configurazione esplicita per rilevarlo e bloccarlo, cosa che la maggior parte non ha impostato.
Raccomandazione pratica: se ospiti su un VPS Contabo, attiva entrambi:
- WireGuard su UDP 51820 — il tuo driver giornaliero predefinito
- OpenVPN su TCP 443 — il tuo backup quando il Wi-Fi blocca l'UDP
Eseguire entrambi sullo stesso VPS non costa nulla in più e richiede 15 minuti in più per configurare. La guida WireGuard + DPI bypass copre la configurazione combinata.
Durata della batteria sui dispositivi mobili — WireGuard vince chiaramente
Questo è il fattore decisivo per la maggior parte delle persone che usano una VPN sul loro telefono.
L'implementazione in kernel-space di WireGuard ha vantaggi misurabili sui chip ARM. In un test reale di pendolarismo (metro di Parigi, viaggio di andata e ritorno di 2 ore, mix di Wi-Fi e 4G, email in background + sincronizzazione sociale attiva):
- WireGuard: il telefono ha consumato ~7% di batteria in 2 ore con la VPN attiva
- OpenVPN UDP: ~10% nello stesso viaggio
- OpenVPN TCP: ~11% (sovraccarico extra dagli ACK TCP)
I numeri assoluti variano in base al dispositivo e al modello di utilizzo, ma WireGuard si attesta costantemente sul 25–35% in meno di consumo di batteria. In una giornata di viaggio intensa (10+ ore), è la differenza tra arrivare in hotel con il 30% di batteria o essere scarico.
Anche la storia della riconnessione è importante per i dispositivi mobili: ogni volta che vai sottoterra (metro), esci da un edificio o cambi tra reti Wi-Fi, WireGuard si riconnette senza problemi. La rinnegoziazione TLS di OpenVPN significa che noterai un'interruzione di 3–5 secondi. Quando sei sul telefono tutto il giorno, questo accade dozzine di volte.
Sicurezza: cosa dicono effettivamente gli audit
Entrambi i protocolli sono stati sottoposti a audit indipendenti. Ecco cosa hanno trovato gli auditor:
WireGuard:
- Audit formale Cure53 (2018): nessuna vulnerabilità critica. Problemi minori, tutti risolti.
- Audit del port macOS di Trail of Bits (2020): stesso risultato.
- Inclusione nel kernel Linux (dal kernel 5.6, marzo 2020): revisionato da Linus Torvalds e dai manutentori netdev.
- Superficie di attacco: ~4.000 righe di C, nessun percorso crittografico opzionale.
OpenVPN:
- Audit OSTIF (2017, 2018): trovati e corretti alcuni bug di media gravità. Nessun RCE.
- Dipendenza da OpenSSL: Heartbleed (2014) ha colpito OpenVPN perché distribuisce OpenSSL. Questa classe di rischio esiste finché OpenVPN dipende da una grande libreria esterna.
- Crittografia configurabile: OpenVPN moderno predefinito su AES-256-GCM. Ma seguire un vecchio tutorial può lasciarti su Blowfish-128-CBC, che è debole. WireGuard rende questo impossibile per design.
Verdetto onesto: entrambi sono affidabili. Il vantaggio di WireGuard è la semplicità architettonica e l'impossibilità di essere configurato male. Il vantaggio di OpenVPN è l'esposizione in produzione di due decenni e cicli di patch attivi. Per una VPN personale auto-ospitata, entrambi vanno bene — ma la superficie di attacco più piccola di WireGuard e i primitivi moderni gli danno un leggero vantaggio.
Compatibilità: l'unica area in cui OpenVPN è in vantaggio
WireGuard richiede:
- Kernel Linux 5.6+ (integrato) o 3.10+ (modulo DKMS)
- Windows 10 v1903+ (client ufficiale)
- macOS 12+ (client ufficiale App Store)
- Android 5.0+ / iOS 15+ (app ufficiali)
Se hai bisogno di supportare dispositivi più vecchi, OpenVPN ti copre. I client esistono per:
- Windows 7/8/8.1 (tramite build della community)
- macOS Catalina (10.15) e precedenti
- Android 4.0+
- Synology DSM 5, 6, 7
- pfSense / OPNsense (integrato)
- Router DD-WRT, Tomato
Per la maggior parte delle persone che impostano una VPN nel 2026, i requisiti di compatibilità di WireGuard non sono un ostacolo. Ma se qualcuno nella tua famiglia o nel tuo team utilizza hardware vecchio, tienilo a mente.
Complessità di configurazione — WireGuard vince
Una configurazione server minima di WireGuard è di circa 10 righe. Una configurazione server minima di OpenVPN è di circa 30 righe, più una PKI (infrastruttura a chiave pubblica) con CA, certificato server, parametri DH e certificati per client. La configurazione iniziale è veramente più difficile.
WireGuard utilizza coppie di chiavi statiche (chiave pubblica/privata per peer, nessuna CA). Non c'è scadenza del certificato da gestire, nessuna manutenzione PKI. Quella semplicità è una caratteristica: meno da configurare male, meno da mantenere nel tempo.
Se ospiti su un VPS Contabo S, puoi seguire la nostra guida passo-passo alla configurazione di WireGuard e avere un tunnel funzionante in meno di 20 minuti. La configurazione equivalente di OpenVPN richiede almeno un'ora per un principiante.
Verdetto per caso d'uso
Vuoi una VPN personale su un VPS economico → WireGuard
Configuralo una volta su un Contabo VPS S (~€5/mese), copia-incolla la configurazione sui tuoi dispositivi, fatto. La semplicità e le prestazioni di WireGuard lo rendono la scelta ovvia.
Viaggi frequentemente e incontri reti aziendali / alberghiere → entrambi sullo stesso VPS
WireGuard come predefinito. OpenVPN TCP/443 come fallback per il bypass del firewall. Un VPS, due configurazioni, cinque minuti di configurazione extra. La guida al routing + DPI bypass spiega come fare.
Ti interessa la batteria mobile e la riconnessione senza interruzioni → WireGuard
Nessun confronto. La storia della riconnessione da sola — 200 ms vs 3–5 secondi — cambia materialmente l'esperienza mobile quotidiana.
Hai dispositivi legacy da supportare → OpenVPN
Controlla prima la compatibilità del client WireGuard. Se il tuo vecchio dispositivo può eseguire WireGuard, fallo. In caso contrario, OpenVPN è il ripiego.
Non vuoi gestire un VPS per niente → Proton VPN
L'auto-ospitazione è potente ma richiede un VPS e un po' di manutenzione. Se è troppo complicato, un VPN commerciale affidabile con una politica di no-log verificata e supporto WireGuard (Proton VPN utilizza WireGuard sotto il cofano per i suoi server veloci) è un'opzione legittima e più semplice.
Prova Proton VPN →Utilizza WireGuard nativamente · Audited no-log · Giurisdizione svizzera · Miglior scelta se l'auto-ospitazione è eccessiva per il tuo caso d'uso→Approfondimenti
- WireGuard vs OpenVPN: guida ai benchmark VPS 2026 — una procedura riproducibile con iperf3 per misurare la differenza di velocità da te
- Auto-ospita VPN su Contabo: guida passo-passo a WireGuard 2026 — la guida completa alla configurazione
- Guida al routing WireGuard + DPI bypass — eseguire WireGuard + OpenVPN TCP/443 sullo stesso VPS Contabo
- Miglior VPN auto-ospitata 2026 — confronto più ampio che include Tailscale, Headscale e Nebula per team che considerano più di WireGuard vs OpenVPN
- Generatore di configurazione WireGuard — ottieni un
wg0.confpronto da incollare senza impostare manualmente chiavi, subnet e regole PostUp
Pubblicato il 2026-06-11. Basato sulle caratteristiche documentate di WireGuard 1.0.x e OpenVPN 2.6.x e fonti pubbliche; le prestazioni sono descritte come tendenze che seguono il design di ciascun protocollo, non come misurazioni interne. Per i dati sulla tua connessione, vedi la guida ai benchmark riproducibili VPS benchmark guide.
Divulgazione affiliati: questo articolo contiene link affiliati a Contabo e Proton VPN. Ci pagano una commissione se ti abboni — senza costi aggiuntivi per te. Utilizziamo Contabo e abbiamo testato Proton VPN; non raccomandiamo prodotti che non abbiamo utilizzato.
★ Datacenter GDPR di Norimberga · ✓ IPv4 dedicato incluso · 200+ Mbps garantiti
Self-host your VPN on your own VPS → ContaboFull root access · public IPv4 · pick your region→
