WireGuard VPN moderna a velocità del kernel, ~4.000 righe di codice
Un protocollo VPN abbastanza piccolo da essere auditato in un pomeriggio e abbastanza veloce da saturare un link gigabit.
Un protocollo VPN moderno progettato da Jason Donenfeld, fuso nel kernel Linux mainline nella versione 5.6 (2020). Usa una suite crittografica fissa, di opinione — Curve25519, ChaCha20, Poly1305, BLAKE2s — gira interamente su UDP e autentica i peer per chiavi pubbliche statiche. L'implementazione di riferimento è sotto le 4.000 righe di codice, un ordine di grandezza più piccola di OpenVPN o IPsec.
Una «VPN personale su un VPS» è il nostro caso d'uso d'ingresso più comune.
Una quota significativa di nuovi clienti compra un VPS da 1 GB di fascia d'ingresso per esattamente un lavoro: tirare su WireGuard, puntare il laptop e il telefono verso di esso e smettere di fidarsi del marchio VPN consumer a cui pagavano €12 al mese. La matematica è incontestabile — un VPS a €4/mese instrada il traffico del cliente da un IP che gli appartiene, non da un pool condiviso con migliaia di sconosciuti e pre-flaggato su ogni gauntlet di captcha sul web.
WireGuard è il protocollo giusto per questo lavoro perché è veloce, semplice e viene fornito dentro il kernel di ogni distribuzione Linux moderna. Non c'è PKI da gestire, nessuna autorità di certificazione da accudire, nessuna oscura negoziazione di cifrario. Due chiavi pubbliche, due endpoint, una riga allowed-IPs, e il tunnel è su. Il file di configurazione è abbastanza corto da committare in un repo git senza imbarazzo.
Operativamente raccomandiamo WireGuard per: privacy di navigazione personale, accesso remoto a reti di casa o ufficio, link sicuri tra VPS in regioni diverse e configurazioni split-tunnel dove solo destinazioni specifiche transitano per la VPN. La pagina caso d'uso e la guida illustrata coprono il portafoglio di pattern comuni.
Le pagine che si appoggiano a questo termine.
Le domande che le persone pongono davvero.
In cosa WireGuard è diverso da OpenVPN?
WireGuard gira in spazio kernel, usa una suite crittografica moderna fissa e ha una codebase circa dieci volte più piccola di OpenVPN. Il risultato pratico è throughput che satura un link gigabit con CPU modesta, latenza di handshake di pochi millisecondi a cifra singola e un file di configurazione che può leggere in una sola seduta. OpenVPN resta utile per ambienti che richiedono PKI basato su certificati o fallback TCP su porta 443; WireGuard vince su prestazioni grezze, superficie di audit e semplicità operativa.
WireGuard è privato?
WireGuard cifra e autentica tutto il traffico tra peer usando crittografia moderna (Curve25519 per lo scambio chiavi, ChaCha20-Poly1305 per il data channel). Un osservatore passivo sul filo vede solo pacchetti UDP tra due IP e non può leggere il contenuto. WireGuard non nasconde, però, che due peer specifici stanno parlando; tooling come obfsproxy o Tor è richiesto per quello strato di privacy.
Posso far girare il mio server WireGuard su un VPS NordBastion?
Sì — questo è uno dei casi d'uso più popolari per i piani VPS di fascia d'ingresso sul sito. Un nodo da 1 GB di RAM, singolo vCPU terminerà comodamente WireGuard per un piccolo team o una famiglia. La guida illustrata richiede circa quindici minuti da «ho appena ricevuto la mia password root» a «il mio telefono sta navigando attraverso il VPS».
WireGuard funziona su mobile?
Sì. App WireGuard ufficiali sono pubblicate per iOS e Android, entrambe ben mantenute e prive di tracker. Il comportamento di roaming — mantenere il tunnel vivo attraverso transizioni Wi-Fi/cellulare e cambi di IP — è una delle proprietà di spicco del protocollo e funziona essenzialmente in modo trasparente sui telefoni moderni.