Come configurare il tuo server OpenVPN su un VPS in 10 minuti

Difficoltà: Principiante 8 min di lettura Aggiornato: 18.07.2026 5
Come configurare il tuo server OpenVPN su un VPS in 10 minuti
OpenVPN e la VPN self-hosted matura e universalmente compatibile, e il suo asso nella manica e funzionare su TCP porta 443 cosi da passare attraverso i firewall restrittivi. Questa guida configura il tuo server OpenVPN su un VPS economico in circa dieci minuti usando uno script open-source affidabile che gestisce per te certificati, firewall e file dei client.

Perche OpenVPN e quando sceglierlo

OpenVPN e il veterano delle VPN self-hosted: ha piu di vent'anni, e stato controllato all'inverosimile ed e supportato da ogni app VPN e router del pianeta. Non e l'opzione piu veloce - WireGuard lo batte in velocita e consumo di batteria - ma ha un asso nella manica che WireGuard non ha: puo funzionare su TCP sulla porta 443, la stessa porta del normale HTTPS. Questo gli permette di passare attraverso i firewall restrittivi di hotel, uffici e aeroporti che bloccano tutto tranne il traffico web.

Dove OpenVPN non e lo strumento giusto e la censura pesante basata su DPI. Sistemi come il TSPU russo possono identificare e bloccare OpenVPN puro cosi come bloccano WireGuard puro. Se il tuo obiettivo e aggirare quel tipo di blocco, usa invece la nostra guida VLESS + Reality. Scegli OpenVPN quando vuoi una VPN personale solidissima e universalmente compatibile e la liberta di nasconderti sulla porta 443.

  • Un economico VPS basato su KVM con Ubuntu 22.04 o 24.04 (l'installer supporta Ubuntu 18.04 e versioni successive).
  • Accesso SSH come root - il tuo provider te lo invia via email dopo il pagamento.
  • Circa 10 minuti. Uno script ben mantenuto fa per te le parti difficili (certificati, firewall, routing).
Completamente autonomo: questa guida ti porta da un VPS nuovo fino a una VPN funzionante, senza alcuna configurazione preliminare. E adatta ai principianti e tutto qui sotto viene eseguito come root. Preferisci il protocollo moderno piu veloce? Vedi la nostra guida WireGuard.

Passo 1: Connettiti e aggiorna il server

Accedi via SSH (sostituisci con l'IP del tuo server) e installa gli ultimi aggiornamenti:

ssh root@YOUR_SERVER_IP
apt update && apt upgrade -y

Passo 2: Scarica l'installer

Useremo il noto script open-source angristan/openvpn-install. Installa OpenVPN, genera tutti i certificati, configura il firewall e il routing e gestisce i file dei client - le parti che rendono penosa una configurazione manuale di OpenVPN. Scaricalo e rendilo eseguibile:

curl -O https://raw.githubusercontent.com/angristan/openvpn-install/master/openvpn-install.sh
chmod +x openvpn-install.sh

Passo 3: Eseguilo e rispondi alle domande

Avvia l'installer:

./openvpn-install.sh

Fa un breve elenco di domande. Per la maggior parte delle persone i valori predefiniti sono corretti - ecco cosa scegliere:

  • IP pubblico: rileva automaticamente l'IP del tuo server. Accettalo a meno che il server non sia dietro NAT.
  • Protocollo: UDP e il predefinito ed e piu veloce - tienilo per l'uso quotidiano. Scegli TCP solo se hai bisogno specificamente di nasconderti sulla porta 443 (vedi il suggerimento sotto).
  • Porta: mantieni la predefinita 1194 per UDP. Se hai scelto TCP per superare un firewall rigido, imposta la porta su 443.
  • DNS: scegli un resolver pubblico come Cloudflare o Quad9 in modo che le tue richieste non trapelino al tuo provider locale.
  • Cifrario e certificato: accetta semplicemente i valori predefiniti - lo script usa impostazioni moderne e sicure (AES-128-GCM, ECDSA).
  • Nome del client: digita un nome breve per il tuo primo dispositivo, per esempio phone.
  • Protezione con password: lo script chiede se il client debba essere senza password o protetto da password. Aggiungere una password significa che un file .ovpn rubato e inutile senza di essa - ne vale la pena per un telefono o un portatile che potrebbe andare perso.

Lo script gira per un minuto e termina creando un file di configurazione del client che finisce in .ovpn nella cartella /root.

Vuoi superare i firewall che filtrano solo per porta? Scegli TCP e la porta 443 a queste domande - decidi ora, perche per cambiare il protocollo o la porta in seguito devi rimuovere OpenVPN e reinstallarlo. Sulla 443 la tua VPN usa la stessa porta di HTTPS, quindi passa oltre i firewall di hotel, bar e aeroporti che filtrano solo in base al numero di porta. Non e pero invisibile: un DPI intelligente puo comunque capire che si tratta di una VPN, quindi questo non e un modo per aggirare la censura (per quello usa VLESS + Reality, indicato sopra). E il TCP e sensibilmente piu lento - incapsulare il tuo traffico TCP dentro un tunnel TCP puo collassare in caso di perdita di pacchetti (l'effetto "TCP meltdown") - quindi usalo solo quando una rete blocca l'UDP.

Passo 4: Porta il file .ovpn sul tuo dispositivo

Tutto cio di cui un client ha bisogno e dentro quell'unico file .ovpn - chiavi, certificati e impostazioni. Copialo dal server al tuo computer con scp (esegui questo sul tuo computer, sostituendo il nome e l'IP):

scp root@YOUR_SERVER_IP:/root/phone.ovpn .

Per portarlo su un telefono, usa quello che hai a portata di mano: inviati il file .ovpn nei "Messaggi salvati" di un'app di messaggistica, mettilo nel tuo cloud drive e cancellalo dopo, oppure prelevalo dal server con un'app SFTP grafica come Cyberduck o FileZilla. Tratta il file come una password - chiunque lo possieda puo connettersi al posto tuo, quindi cancella le copie sparse una volta configurato il dispositivo.

Passo 5: Installa un'app client e connettiti

L'app ufficiale OpenVPN Connect funziona su ogni piattaforma; su desktop puoi anche usare alternative piu leggere. Scegli la tua, importa il file .ovpn e connettiti.

Android: installa OpenVPN Connect da Google Play. Aprila, scegli Import Profile -> File, seleziona il tuo file .ovpn, poi tocca l'interruttore per connetterti.

iPhone e iPad: installa OpenVPN Connect dall'App Store. Condividi il file .ovpn con l'app (o usa Import -> File), poi attivalo e consenti il profilo VPN.

Windows: installa OpenVPN Connect, clicca Import Profile -> Upload File, seleziona il tuo .ovpn, poi premi connetti.

macOS: installa OpenVPN Connect o il gratuito Tunnelblick. Importa il file .ovpn e connettiti.

Linux desktop: installa la CLI con apt install openvpn e connettiti con openvpn --config phone.ovpn, oppure importa il file in NetworkManager per un interruttore clicca-e-connetti.

Passo 6: Aggiungi o rimuovi dispositivi in seguito

Dai a ogni dispositivo il proprio profilo cosi da poterne revocare uno senza disturbare gli altri. Per aggiungere un portatile o revocare un telefono smarrito, esegui semplicemente di nuovo l'installer - rileva il server esistente e offre un menu:

./openvpn-install.sh

Scegli Add a new user per creare un altro .ovpn, oppure Revoke existing user per escludere definitivamente un dispositivo.

Passo 7: Verifica che funzioni

Con il client connesso, conferma due cose sulla nostra pagina Strumenti di rete. Primo, internet dovrebbe ora mostrare l'IP del tuo server - visualizzato in cima alla pagina. Secondo, apri la scheda DNS Leak Test: i resolver elencati dovrebbero essere il DNS che hai scelto nel Passo 3, mai il tuo ISP di casa. Se entrambi sono corretti, il tuo tunnel OpenVPN e attivo.

Errori comuni

  • Firewall del provider cloud. I grandi host - AWS, Oracle Cloud, Azure, Google Cloud - hanno i propri Security Group nel pannello web, separati dal firewall di Ubuntu, e la tua porta li e spesso chiusa per impostazione predefinita. Apri la porta che hai scelto (1194/udp o 443/tcp) anche nel pannello del provider, non solo in ufw.
  • Aspettative sbagliate sul protocollo. UDP e piu veloce ma alcune reti restrittive lo bloccano - se un Wi-Fi pubblico si rifiuta di connettersi, e allora che la build TCP-443 si guadagna il pane.
  • Condividere un solo profilo. Caricare lo stesso .ovpn su due dispositivi contemporaneamente causa disconnessioni. Genera un profilo separato per ogni dispositivo.
  • OpenVPN contro la censura. OpenVPN puro, anche sulla 443, e rilevabile da DPI avanzati. In reti fortemente censurate usa invece VLESS + Reality.

I limiti onesti

Un server OpenVPN self-hosted e privato dalla tua rete locale e dal tuo ISP, ma valgono comunque i soliti limiti del self-hosting: il tuo provider VPS puo vedere gli indirizzi IP che si connettono al server e, su una macchina virtuale, puo fare uno snapshot della sua RAM. Per ridurre cio che il tuo stesso server conserva su disco, prosegui con la nostra guida su come fare in modo che il tuo VPS non conservi log. E come sempre, una VPN cambia il punto da cui il tuo traffico sembra provenire - non ti mette al di sopra della legge del luogo in cui vivi.

Mantienilo tuo: fai il backup di /etc/openvpn/ in un posto sicuro, mantieni il sistema aggiornato con apt upgrade e revoca ogni profilo che non usi piu. Se un giorno vuoi rimuovere tutto, riesegui l'installer e scegli Remove OpenVPN.
Tag: openvpn vpn vps self-hosted privacy tutorial tcp 443 linux