💻 Tecnologia

WireGuard vs OpenVPN: quale protocollo VPN scegliere

WireGuard è il protocollo VPN del momento. OpenVPN è il veterano consolidato. Confrontiamo performance, sicurezza e casi d'uso per aiutarti a scegliere.

Team Tecnico Velix19 maggio 20267 min di lettura
💻

Se stai configurando una VPN — che sia per telelavoro, per collegare due sedi aziendali o per una home network remota — ti troverai di fronte alla scelta tra WireGuard e OpenVPN. Vediamo le differenze reali.

OpenVPN: il veterano

OpenVPN esiste dal 2002. È open source, ampiamente adottato, supportato su praticamente ogni piattaforma e considerato molto sicuro dopo anni di audit.

Caratteristiche tecniche:

  • Usa TLS/SSL per il canale di controllo e dati
  • Supporta TCP e UDP (UDP consigliato)
  • Codebase di circa 600.000 righe di codice
  • Integrazione con PKI tramite Easy-RSA o simili

Punti di forza:

  • Maturità e adozione massiva
  • Configurabilità estrema
  • Funziona bene dietro NAT e firewall restrittivi (porta 443 TCP)
  • Supporto enterprise con autenticazione LDAP/RADIUS

Punti deboli:

  • Lento: overhead significativo, handshake costoso
  • Latenza: visibile specialmente su connessioni a bassa latenza
  • Configurazione complessa per principianti
  • Riconnessione lenta dopo cambio di rete

WireGuard: il nuovo standard

WireGuard è stato integrato nel kernel Linux nel 2020. Progettato da zero per essere semplice, veloce e moderno.

Caratteristiche tecniche:

  • ~4.000 righe di codice (vs 600.000 di OpenVPN)
  • Usa Curve25519 per lo scambio chiavi, ChaCha20 per cifratura, Poly1305 per autenticità
  • Solo UDP, porte configurabili
  • Stateless design: i pacchetti vengono accettati o scartati senza stato di sessione

Punti di forza:

  • Velocità: 2-4x più veloce di OpenVPN in benchmark reali
  • Latenza bassa: handshake quasi istantaneo
  • Roaming: cambia IP (WiFi → 4G) senza perdere la connessione
  • Codebase minima = superficie di attacco ridotta

Punti deboli:

  • Non nasconde che stai usando una VPN (non usa porta 443 TCP)
  • Logging: di default salva gli IP dei peer (attenzione a privacy)
  • Meno flessibile per scenari enterprise complessi

Confronto prestazioni reali

Su una connessione fibra simmetrica 1 Gbps, benchmark indicativi:

ProtocolloThroughputCPU (server)Latenza overhead
WireGuard850-950 Mbpsbassa<1ms
OpenVPN UDP300-500 Mbpsalta5-15ms
OpenVPN TCP100-200 Mbpsmolto alta20-50ms

Quale scegliere

Scegli WireGuard se:

  • Connessione tra sede e casa (road warrior)
  • Accesso remoto veloce con mobile
  • Server Linux con kernel moderno
  • Priorità assoluta alle performance
  • Vuoi configurazione semplice

Scegli OpenVPN se:

  • Devi passare attraverso firewall aziendali molto restrittivi (porta 443 TCP)
  • Infrastruttura enterprise con PKI esistente e LDAP
  • Compatibilità con vecchi dispositivi embedded
  • Requisiti di compliance che richiedono tecnologie certificate

Configurazione WireGuard base (server Linux)

# Genera chiavi
wg genkey | tee /etc/wireguard/privatekey | wg pubkey > /etc/wireguard/publickey

# /etc/wireguard/wg0.conf
[Interface]
PrivateKey = <server_private_key>
Address = 10.0.0.1/24
ListenPort = 51820
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
PublicKey = <client_public_key>
AllowedIPs = 10.0.0.2/32
systemctl enable --now wg-quick@wg0

La configurazione client speculare con Endpoint = :51820.

Vuoi portare Velix a casa tua?

Verifica la copertura FTTH al tuo indirizzo in 30 secondi. Gratis, senza impegno.

Verifica copertura →
← Torna al blog