Sei indeciso tra WireGuard e OpenVPN per il tuo VPN autogestito. Hai letto ovunque che "WireGuard è più veloce" senza molte spiegazioni sul perché, o su quando OpenVPN è ancora la scelta giusta. Questa guida confronta onestamente entrambi i protocolli, sugli aspetti che contano davvero per un VPN su VPS autogestito: throughput, latenza, costo della CPU, modello di sicurezza e compatibilità — e fornisce un verdetto per caso d'uso.
Versione breve: WireGuard generalmente vince in termini di prestazioni grezze e semplicità, ma OpenVPN mantiene un vantaggio legittimo, a volte decisivo, in due situazioni specifiche.
WireGuard è più veloce di OpenVPN su un VPS?
Generalmente, sì. WireGuard gira nel kernel di Linux, utilizza una suite di cifratura moderna e aggiunge pochissimo overhead per pacchetto, quindi su un collegamento VPS veloce offre tipicamente un throughput vicino alla velocità della linea grezza utilizzando una frazione della CPU. OpenVPN gira come un demone in userland: ogni pacchetto attraversa il confine kernel/userland per la crittografia, il che costa CPU e throughput — specialmente su hardware a bassa potenza. OpenVPN si riconnette anche più lentamente ai cambiamenti di rete, mentre il design stateless di WireGuard riprende quasi istantaneamente.
WireGuard vs OpenVPN su un VPS da 1 Gbps — confronto qualitativo:
| Aspetto | WireGuard | OpenVPN 2.6 |
|---|---|---|
| Throughput grezzo | Generalmente più alto (vicino alla velocità della linea) | Generalmente più basso (TLS + overhead userland) |
| Overhead di latenza | Più basso | Più alto (ancora di più su TCP) |
| Costo della CPU | Basso (spazio kernel) | Più alto (userland, switch di contesto per pacchetto) |
| Dimensione del codice | ~4.000 righe di C | ~70.000 righe di C (+ OpenSSL) |
| Spazio kernel | Sì (Linux 5.6+, marzo 2020) | No (demone userland) |
| Superamento firewall (TCP/443) | No (solo UDP) | Sì |
| Storia degli audit | Cure53 2018 — nessuna vulnerabilità critica | OSTIF 2017/2018 — nessuna RCE critica |
Verdetto: Scegli WireGuard per prestazioni e semplicità su qualsiasi VPS moderno. Scegli OpenVPN quando hai bisogno di superare firewall TCP/443 (reti aziendali/hotel) o devi supportare dispositivi legacy (router DD-WRT, OpenWRT <21, sistemi operativi client molto vecchi).
Questo confronto si basa sulle caratteristiche pubblicate e ben documentate di entrambi i protocolli piuttosto che su un singolo test privato. La nostra metodologia →
Perché WireGuard è solitamente più veloce
Il divario di prestazioni non è marketing — deriva direttamente da come ciascun protocollo è costruito.
WireGuard gira nello spazio kernel. Viene fornito come modulo kernel (wireguard.ko), integrato nel kernel Linux mainline in 5.6 (marzo 2020). I pacchetti vengono crittografati e inoltrati senza lasciare il kernel, evitando i costosi switch di contesto user/kernel che dominano il costo di OpenVPN su collegamenti occupati.
WireGuard è piccolo e fisso. Circa 4.000 righe di C, con una singola suite di cifratura moderna (Curve25519, ChaCha20-Poly1305, BLAKE2s). Non c'è nulla da regolare e nessun overhead di negoziazione — ottieni lo stesso percorso veloce ogni volta.
OpenVPN gira in userland sopra TLS. È un demone che utilizza OpenSSL; ogni pacchetto fa un viaggio di andata e ritorno kernel → userland → kernel per la crittografia. È flessibile (può fare quasi tutto) ma costa CPU e throughput, e l'effetto è molto maggiore su hardware a bassa potenza senza accelerazione AES.
L'overhead del protocollo stesso è piccolo per entrambi. Un'intestazione VPN più l'incapsulamento UDP/IP consuma una piccola percentuale di qualsiasi collegamento indipendentemente dal protocollo — quella parte è solo aritmetica, non inefficienza.
Latenza e jitter
WireGuard generalmente aggiunge meno latenza di andata e ritorno rispetto a OpenVPN, e OpenVPN su TCP è il caso peggiore: eseguire TCP all'interno di un tunnel TCP ("TCP-over-TCP") causa ritrasmissioni a cascata non appena il collegamento sottostante perde un pacchetto, il che aumenta la latenza e il jitter. Su un collegamento cablato pulito è tollerabile; su Wi-Fi o mobile con perdite si degrada notevolmente.
Per l'uso quotidiano — navigazione, streaming 4K, videochiamate — l'overhead di WireGuard è impercettibile, e OpenVPN su UDP rimane fluido. Il caso da evitare per l'uso sensibile alla latenza (gaming competitivo, VoIP esigente) è OpenVPN su TCP, a meno che non sia necessario per superare un firewall.
Consumo di CPU
Poiché WireGuard gira nel kernel, utilizza sensibilmente meno CPU per megabit rispetto a OpenVPN, che spende cicli spostando ogni pacchetto tra userland e kernel. Su un VPS multi-core questo raramente importa per un tunnel personale. Importa molto su hardware ARM a bassa potenza (ad esempio un Raspberry Pi senza AES-NI), dove OpenVPN può saturare un core ben prima che il collegamento sia pieno mentre WireGuard rimane confortevole — lasciando margine di CPU per qualsiasi altra cosa il box esegua (un gestore di password, un piccolo cloud, analisi).
Su hardware con accelerazione AES (la maggior parte delle CPU x86 moderne, Apple Silicon), l'AES-256-GCM di OpenVPN è accelerato dall'hardware e il divario di CPU si riduce; su hardware senza di essa, ChaCha20 è la scelta di cifratura OpenVPN migliore. Il ChaCha20-Poly1305 di WireGuard è veloce su entrambi.
Stabilità e roaming mobile
WireGuard è stateless per design: non c'è "connessione" da stabilire, solo peer conosciuti. Quando un client si sposta da Wi-Fi a dati mobili e ritorno, il tunnel riprende quasi istantaneamente senza una rinegoziazione. OpenVPN deve rifare una stretta di mano TLS a ogni cambio di rete, il che richiede alcuni secondi. Per un telefono che cambia rete tutto il giorno, il comportamento di roaming di WireGuard è un vantaggio reale e tangibile.
Un corridoio di datacenter: un VPN autogestito gira su un singolo VPS in una struttura come questa — la scelta del protocollo influisce principalmente su quanto efficacemente quel server muove il tuo traffico.
Analisi della sicurezza
Il dibattito sulla sicurezza è spesso influenzato dal "OpenVPN esiste da 20 anni quindi è più maturo." Guardiamo ai fatti:
WireGuard:
- Primitivi crittografici moderni e fissi: Curve25519 (scambio chiavi), ChaCha20-Poly1305 (AEAD), BLAKE2s (hash), SipHash24 (tabella hash).
- ~4.000 righe di C nel modulo kernel — una superficie di attacco piccola e verificabile.
- Audit formale da Cure53 pubblicato nel 2018 — nessuna vulnerabilità critica trovata. Una revisione separata di Trail of Bits (2020) ha esaminato l'implementazione macOS.
- Nel kernel Linux mainline dal 5.6 (marzo 2020), revisionato dalla comunità netdev.
- Nessuna configurazione crittografica possibile per design: non puoi scegliere accidentalmente un'opzione debole.
OpenVPN:
- Primitivi configurabili: il moderno default è AES-256-GCM, ma una configurazione imprudente copiata da un vecchio tutorial potrebbe ancora selezionare qualcosa di debole.
- ~70.000 righe di C più OpenSSL come grande dipendenza — una superficie molto più grande da considerare.
- Audit OSTIF nel 2017 e 2018 — alcuni bug trovati e corretti, nessuna RCE critica.
- Storicamente esposto a problemi di OpenSSL (ad esempio Heartbleed nel 2014 ha colpito le implementazioni che utilizzavano OpenSSL).
Verdetto onesto: entrambi sono solidi nel 2026. WireGuard ha un vantaggio architettonico (superficie di attacco piccola, primitivi moderni, nessun errore di configurazione). OpenVPN ha un vantaggio di maturità (due decenni in produzione, ampiamente auditato, enorme base di implementazione). Per un'autogestione, WireGuard è la scelta facile — il rapporto semplicità-sicurezza è eccellente.
Throughput per piattaforma client
Tra le piattaforme desktop con supporto nativo WireGuard (Linux, macOS, Windows), il throughput sostenuto è ampiamente simile, con kernel più recenti e il moderno driver nativo Windows che hanno chiuso gran parte del divario storico. Dove vedrai una vera differenza è sui telefoni: sotto un trasferimento sostenuto e a piena velocità, i dispositivi mobili si limitano per motivi termici e di batteria e non eguaglieranno un desktop. Questo è il comportamento mobile previsto ed è irrilevante per l'uso normale (navigazione, streaming) — si manifesta solo se spingi un telefono con iperf3 o un backup pesante.
Se vuoi misurare la tua configurazione piuttosto che affidarti ai numeri di qualcun altro, i comandi di test riproducibili sono alla fine di questo articolo.
Quando OpenVPN rimane rilevante nel 2026
Il marketing di WireGuard è così dominante che dimentichiamo che OpenVPN ha ancora casi d'uso solidi. Ecco le situazioni in cui è ancora lo strumento giusto.
Caso 1: superamento dei firewall aziendali/hotel
Molti firewall aziendali (Fortinet, Palo Alto, Check Point) bloccano l'UDP in uscita non DNS. Puoi incontrare questo problema su una Wi-Fi del cliente, in alcuni hotel o su alcuni hotspot di trasporto a bordo. Poiché WireGuard è solo UDP, il tunnel fallisce silenziosamente (la stretta di mano non si completa mai). Puoi avvolgere WireGuard con wstunnel o Cloak per trasportarlo su TCP/443, ma è un ulteriore strato da mantenere.
OpenVPN supporta nativamente TCP sulla porta 443, con una stretta di mano TLS che assomiglia al traffico HTTPS ordinario, quindi scivola oltre molti setup DPI più semplici. Come "VPN di backup per quando sono su una Wi-Fi aziendale ostile", mantenere un profilo OpenVPN TCP/443 pronto è pragmatico.
Configurazione minima sullo stesso VPS Contabo, accanto a un'installazione WireGuard esistente:
sudo apt install -y openvpn easy-rsa
sudo make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa
sudo ./easyrsa init-pki
sudo ./easyrsa build-ca nopass
sudo ./easyrsa build-server-full vpnsmith nopass
# Configura /etc/openvpn/server/server.conf con:
# proto tcp
# port 443
# dev tun
# cipher AES-256-GCM
Apri TCP/443 su UFW, quindi systemctl enable --now openvpn-server@server. Il client sceglie quale profilo utilizzare (WireGuard di default, OpenVPN TCP/443 come fallback).
Caso 2: compatibilità con sistemi operativi legacy
Se hai bisogno di concedere l'accesso al tunnel a una macchina Windows 7/8.1, un vecchio Synology DSM o un vecchio box Android TV, il client ufficiale WireGuard potrebbe non esistere o potrebbe non essere mantenuto lì. OpenVPN ha avuto un client per quasi tutto per molti anni — inclusi vecchi router DD-WRT che non supporteranno mai WireGuard. Per un parente bloccato su un vecchio sistema operativo, avviare una seconda istanza OpenVPN dedicata a quell'account sullo stesso VPS è una soluzione pulita.
Caso 3 (bonus): registrazione dettagliata degli audit
OpenVPN registra chiaramente ogni connessione, disconnessione e rinegoziazione TLS. WireGuard mantiene la registrazione minima per design (vedi principalmente l'interfaccia up/down tramite journalctl -u wg-quick@wg0). Se il tuo modello di minaccia o regime di conformità (ad esempio DORA, NIS2, ISO 27001) richiede una traccia di audit formale, OpenVPN è più facile da soddisfare out of the box.
Verdetto onesto: per un VPN personale nel 2026, WireGuard prima di tutto. Ma mantenere un profilo OpenVPN TCP/443 come configurazione secondaria sullo stesso VPS è un pragmatismo sensato — costa pochi minuti per configurarlo e ti salva quando l'UDP è bloccato.
Verdettoper caso d'uso
| Caso d'uso | Raccomandazione |
|---|---|
| VPN autogestito personale (1-10 dispositivi) | WireGuard — nessun dibattito |
| Cambio mobile Wi-Fi/4G | WireGuard — roaming quasi istantaneo |
| Superamento firewall aziendale (richiesto TCP/443) | OpenVPN TCP sulla porta 443 |
| Site-to-site tra due datacenter | WireGuard — overhead minimo |
| Gaming competitivo / VoIP esigente | WireGuard — latenza e jitter inferiori |
| Raspberry Pi / hardware ARM a bassa potenza | WireGuard — molto meno CPU |
| Compatibilità OS legacy (Windows 7, vecchio Android) | OpenVPN — supporto client più ampio |
| Offuscamento anti-DPI (Iran, Cina, Russia) | Nessuno dei due grezzo → wstunnel o Cloak come wrapper |
Se stai iniziando da zero per ospitare il tuo VPN su un VPS Contabo, segui la nostra guida passo-passo su WireGuard — e copia-incolla gli script.
Se stai combattendo contro DPI aziendali o statali, guarda la guida al routing personalizzato con bypass DPI che combina WireGuard con uno strato di offuscamento.
Se stai ancora esitando sul provider VPS (Contabo vs Hetzner vs OVH), abbiamo confrontato i tre in condizioni reali.
Misuralo tu stesso con iperf3
Piuttosto che fidarti di qualsiasi cifra pubblicata, misura il tuo VPS e collegamento. Installa iperf3 sul server, eseguilo come server, quindi testa dal tuo client con e senza il tunnel attivo:
# Lato server (il tuo VPS)
sudo apt install -y iperf3
sudo iperf3 -s -D
# Lato client (Mac/Linux)
# Baseline (nessun VPN)
iperf3 -c IP_VPS -t 30 -O 5 --json > baseline.json
# WireGuard (tunnel attivo)
iperf3 -c 10.66.66.1 -t 30 -O 5 --json > wireguard.json
# OpenVPN UDP (tunnel attivo)
iperf3 -c 10.8.0.1 -t 30 -O 5 --json > openvpn-udp.json
Esegui diverse iterazioni in un ciclo for e calcola la mediana con jq:
jq -s 'map(.end.sum_received.bits_per_second) | sort | .[length/2]' wireguard.json
Se i tuoi numeri sembrano sbagliati, controlla l'MTU (ping -M do -s 1372 IP), la qualità del tuo collegamento (un mtr al VPS dovrebbe mostrare <1% di perdita), e che il VPS non stia soffrendo di furto di CPU (mpstat -P ALL 1).
Ordina un VPS per il tuo tunnel
Un piccolo VPS è sufficiente per un tunnel WireGuard personale: Contabo VPS S Cloud, piano di 24 mesi (~€5,49/mese equivalente). Gestisce comodamente un tunnel personale insieme a un paio di servizi autogestiti leggeri.
Una volta che il tuo VPS è pronto, salta il passaggio di scrittura manuale delle chiavi: il nostro generatore di configurazione WireGuard produce un wg0.conf con i parametri crittografici corretti in pochi secondi. Per una decisione più ampia su protocollo e provider, vedi l'hub dei migliori VPN autogestiti per il 2026 — copre WireGuard, Tailscale, Headscale, Nebula e OpenVPN.
Fonti
- Cure53 — Verifica formale di WireGuard (2018)
- Whitepaper di WireGuard (Jason A. Donenfeld)
- Documentazione ufficiale OpenVPN 2.6
- Documentazione utente iperf3
- Benchmark di WireGuard di Phoronix su kernel 6.x
- Audit macOS di WireGuard di Trail of Bits (2020)
Questo articolo è un confronto tecnico qualitativo basato sulle caratteristiche pubbliche e documentate di WireGuard e OpenVPN. Non riporta un test privato. Per cifre specifiche per il tuo hardware e connessione, esegui la procedura iperf3 sopra sul tuo VPS.
Divulgazione affiliata: il link Contabo sopra è un link tracciato che ci paga una commissione se ti abboni. Non cambia il tuo prezzo.
★ Datacenter GDPR di Norimberga · ✓ IPv4 dedicato incluso · 200+ Mbps garantiti
Self-host your VPN on your own VPS → ContaboFull root access · public IPv4 · pick your region→
