🌫️ Дымка VPN Открыть бота →

Протокол · Edu

AmneziaWG — обзор протокола и сравнение с WireGuard

Как Amnezia модифицировала WireGuard для обхода DPI, чем отличается от VLESS Reality, как настроить

⚡ Открыть @dymka_app_bot → Добавить прокси в Telegram

Telegram работает? Открой бота. Не подключается? Добавь прокси — бот появится сам.

Что такое AmneziaWG и зачем он нужен

WireGuard — один из лучших VPN-протоколов по скорости и простоте настройки. Он использует современную криптографию (Curve25519, ChaCha20-Poly1305), работает в ядре Linux и выдаёт скорость, близкую к нативной пропускной способности канала. Проблема одна: его пакеты узнаваемы.

Стандартный WireGuard handshake имеет характерный fingerprint — фиксированный формат первых пакетов, magic header 0x01000000 в начале initiation-пакета, предсказуемый размер и тайминг сообщений. Системы глубокой инспекции пакетов (DPI) научились детектировать WireGuard ещё в 2021–2022 годах. ТСПУ (Технические средства противодействия угрозам), развёрнутые на крупных российских провайдерах, блокируют WireGuard-трафик по этим сигнатурам.

AmneziaWG — форк WireGuard, разработанный командой Amnezia VPN. Он сохраняет всю криптографическую базу оригинала, но добавляет слой обфускации, который делает трафик неотличимым от случайного UDP-шума для систем DPI.

Механизм обфускации AmneziaWG работает на трёх уровнях. Первый — junk-пакеты: перед настоящим WireGuard handshake клиент отправляет несколько пакетов случайного размера с псевдослучайным содержимым. DPI-анализатор, ожидающий сигнатуру WireGuard в первом пакете, её не находит. Второй — изменённый формат заголовков: magic header заменяется на случайное значение, согласованное между клиентом и сервером через конфиг. Третий — рандомизация параметров: количество junk-пакетов, их размер и задержки задаются в конфиге, что делает каждую инсталляцию AmneziaWG уникальной по сигнатуре.

В результате ТСПУ видит UDP-поток без опознаваемых WireGuard-маркеров. Тем не менее в 2025–2026 годах ТСПУ расширил список блокируемых протоколов: AmneziaWG в части регионов и у части провайдеров уже блокируется. Там, где он ещё проходит, блокировка идёт по IP-адресам серверов. Для максимальной устойчивости сейчас лучше подходит VLESS+Reality+XHTTP.

Протокол полностью открыт. Исходный код клиента, ядра и мобильных приложений доступен на GitHub amnezia-vpn. Криптографическая безопасность идентична WireGuard — обфускация добавлена только на уровне транспорта, не внутри шифрования.

AmneziaWG vs WireGuard — главное различие

Оба протокола работают поверх UDP и используют одинаковую криптографию. Разница — исключительно в слое обфускации, который AmneziaWG добавляет поверх стандартного WireGuard. Ниже — детальное сравнение параметров, которые имеют значение для обхода блокировок.

Параметр WireGuard AmneziaWG
Handshake Фиксированный формат, легко детектируется Рандомизированный, junk-пакеты перед handshake
Junk-пакеты Нет Да, настраиваемое количество и размер
Magic header Фиксированный (0x01000000) Случайный, задаётся в конфиге
Обфускация заголовков Нет Да, все поля типа пакета переопределены
Скорость Максимальная (нет overhead) Высокая (−5–10% на обфускацию)
Совместимость с роутерами Нативная (OpenWrt, Keenetic встроено) Требует amneziawg-go / luci-app-amneziawg
Поддержка ОС Linux, Windows, macOS, Android, iOS Linux, Windows, macOS, Android, iOS (через Amnezia VPN)
Клиентский конфиг Файл .conf Файл .awg с дополнительными полями
Блокировка ТСПУ в России Блокируется Частично (в 2025–2026 блокируется ТСПУ в части сетей)

Ключевое техническое отличие — в том, что видит DPI в первых пакетах соединения. Стандартный WireGuard отправляет initiation-пакет фиксированной длины 148 байт с известным magic header. Это моментально классифицируется любой современной системой глубокой инспекции. ТСПУ использует именно эту сигнатуру для блокировки.

AmneziaWG перед настоящим handshake отправляет от 3 до 10 (настраивается) мусорных пакетов случайного размера. Затем следует handshake с изменённым magic header — значением, которое задаётся в конфигурационном файле .awg. DPI не находит сигнатуры WireGuard и классифицирует соединение как неизвестный UDP-трафик.

Цена за обфускацию — около 5–10% скорости. Junk-пакеты создают небольшой overhead только при установке соединения; в процессе передачи данных накладные расходы минимальны. На хорошем канале разница между WireGuard и AmneziaWG практически незаметна. Разница становится ощутимой только при частых реконнектах (например, при переключении между Wi-Fi и мобильной сетью).

Совместимость с инфраструктурой — единственная область, где AmneziaWG проигрывает оригиналу. Стандартный WireGuard встроен в OpenWrt, Keenetic, MikroTik и большинство домашних роутеров начиная с 2022 года. Для AmneziaWG нужны дополнительные пакеты. Это не принципиальное ограничение — пакеты существуют для всех популярных платформ — но порог вхождения выше.

AmneziaWG vs VLESS Reality — какой протокол выбрать

Оба протокола решают одну задачу — обход DPI-блокировок — но принципиально разными методами. Понимание этой разницы помогает выбрать подходящий инструмент под конкретную ситуацию.

Подход AmneziaWG: обфусцированный UDP

AmneziaWG — это модифицированный WireGuard. Трафик по-прежнему идёт по UDP, но без опознаваемых WireGuard-сигнатур. DPI видит непонятный UDP-поток и не находит оснований для блокировки. Преимущество: низкая latency, высокая скорость, простой протокол без лишних слоёв. Недостаток: трафик по-прежнему UDP, что само по себе может вызывать подозрения в сетях с агрессивной фильтрацией. Блокировка по IP-адресам серверов эффективна против AmneziaWG — смена IP решает проблему, но требует действий.

Подход VLESS Reality: маскировка под HTTPS

VLESS+Reality идёт принципиально иным путём. Трафик маскируется под стандартное TLS 1.3 соединение к реальному сайту — например, к www.microsoft.com. DPI видит легитимный HTTPS-трафик с настоящим сертификатом. Заблокировать его без блокировки всего HTTPS-трафика к Microsoft или Google — технически возможно, но политически нецелесообразно. Это делает VLESS Reality значительно более устойчивым в условиях жёсткой цензуры.

Практический вывод

Для энтузиастов с собственным VPS, которым важны скорость и низкая latency — AmneziaWG через Amnezia VPN остаётся рабочим вариантом там, где ещё не заблокирован. Настройка несложнее, чем VLESS Reality. Однако в 2025–2026 ТСПУ включил AmneziaWG в список блокируемых протоколов — стабильность зависит от конкретного провайдера и региона.

Для обычного пользователя, который хочет стабильно работающее решение без погружения в технические детали — VLESS+Reality надёжнее при жёстких ограничениях. Именно этот протокол (в комбинации с XHTTP) использует Дымка: серверы в Финляндии, Нидерландах и Германии, управление через @dymka_app_bot, без необходимости разбираться с конфигами и VPS.

Оба подхода работают. Если ваша цель — самостоятельное изучение и полный контроль над инфраструктурой, AmneziaWG — интересный проект. Если цель — просто работающий VPN без лишних усилий, готовый сервис на VLESS Reality избавит от необходимости настраивать что-либо вручную.

Сервисы с поддержкой AmneziaWG

AmneziaWG поддерживают несколько VPN-решений. Часть из них — self-hosted платформы, часть — коммерческие сервисы.

Amnezia VPN — официальная реализация

Основной проект — Amnezia VPN. Включает клиентские приложения для всех платформ (Windows, macOS, Linux, Android, iOS) и серверный компонент для self-hosted установки. Сервис предлагает как собственные платные серверы, так и возможность подключить свой VPS. AmneziaWG — один из нескольких протоколов в экосистеме Amnezia наряду с OpenVPN over ShadowSocks, AmneziaWG остаётся наиболее производительным вариантом.

Windscribe

Windscribe частично поддерживает WireGuard с кастомными настройками обфускации на некоторых серверах. Полноценной поддержки форка AmneziaWG нет, но в ряде конфигураций (Stealth protocol) достигается схожий эффект обфускации. Подходит как альтернатива для пользователей, уже использующих Windscribe.

Comss.one и аналоги

Ряд российских агрегаторов VPN-конфигов (Comss.one и подобные) предоставляют готовые .awg конфиги для AmneziaWG. Качество серверов и стабильность сильно варьируются — это скорее инструмент для тех, кто хочет попробовать протокол, не разворачивая собственный сервер.

Дымка VPN — VLESS+Reality+XHTTP

Дымка идёт другим путём. Вместо AmneziaWG используется VLESS+Reality+XHTTP — TLS-based подход, который маскирует трафик под HTTPS к реальным сайтам. Это другой протокол с другой архитектурой, но с той же целью: обход ТСПУ в России. Серверы в Финляндии, Нидерландах и Германии, скорость до 500 Мбит/с, no-logs.

Если вам нужно готовое решение без настройки VPS и конфигов — Дымка предлагает быстрый старт через Telegram-бот @dymka_app_bot. Бесплатно: 1 ГБ/день. Платно: 50 ₽ первый месяц.

Попробовать Дымку бесплатно →

Цена

Первый месяц 50 ₽. Дальше 379 ₽/мес. Оплата картой РФ или СБП.

Бесплатно

0 ₽

навсегда

  • ✓ 1 ГБ в день
  • ✓ Без карты и регистрации
  • ✓ Все сервера
Попробовать
Лучшая цена

Месяц

50 ₽

первый месяц, потом 379 ₽

  • ✓ Безлимит трафика
  • ✓ Все устройства
  • ✓ Поддержка 24/7
  • ✓ Карта РФ, СБП
Подключить за 50 ₽

Год

2 990 ₽

≈ 250 ₽/мес, экономия 34%

  • ✓ Безлимит трафика
  • ✓ Все устройства
  • ✓ Лучшая цена в год
Купить год

Как установить AmneziaWG на Android и iOS

Клиентское приложение Amnezia VPN поддерживает AmneziaWG на обеих мобильных платформах. Для подключения нужен готовый конфиг от администратора сервера или собственный self-hosted сервер.

Шаг 1: Установить Amnezia VPN

Android: Скачайте Amnezia VPN из Google Play или RuStore. Поиск по запросу «amneziawg android» приведёт к официальному приложению Amnezia VPN — именно оно поддерживает .awg конфиги. Нативный клиент WireGuard для Android файлы .awg не читает.

iOS: Найдите «Amnezia VPN» в App Store. На iPhone нет отдельного клиента «amneziawg ios» — всё через единое приложение Amnezia VPN, которое управляет несколькими протоколами включая AmneziaWG.

Шаг 2: Получить конфиг

Конфиг формата .awg предоставляет администратор сервера AmneziaWG. Он содержит все необходимые параметры: адрес сервера, ключи, и специфичные для AmneziaWG поля — количество junk-пакетов, их размер, magic header. Без этих дополнительных полей обфускация не работает — обычный WireGuard конфиг .conf здесь не подойдёт.

Шаг 3: Импортировать конфиг

В приложении Amnezia VPN нажмите «+» (добавить подключение). Доступно три способа импорта: сканирование QR-кода, импорт файла .awg, или ввод ссылки. Самый удобный — QR-код: администратор генерирует его из конфига, вы сканируете телефоном.

Шаг 4: Подключиться

После импорта тоннель появляется в списке подключений. Нажмите «Подключить» — приложение установит соединение через AmneziaWG. Статус соединения и текущий IP-адрес отображаются в главном экране. При необходимости включите «Kill Switch» — разрыв всего трафика при потере VPN-соединения.

Важно: конфиг .awg содержит приватный ключ. Не передавайте файл третьим лицам и не публикуйте в открытом доступе.

AmneziaWG на OpenWrt и Keenetic

Настройка AmneziaWG на роутере — наиболее удобная схема для домашнего использования: весь трафик устройств в сети автоматически идёт через туннель, не нужно настраивать каждое устройство отдельно.

AmneziaWG на Keenetic

Keenetic не поддерживает AmneziaWG нативно — потребуется Entware. Установите Entware согласно официальной документации Keenetic (раздел «Пакетный менеджер Entware»). После установки выполните в терминале: 

opkg update
opkg install amneziawg-go
opkg install wireguard-tools

Создайте конфиг в /opt/etc/amneziawg/awg0.conf с параметрами вашего сервера. Запустите туннель командой: 

awg-quick up /opt/etc/amneziawg/awg0.conf

Для автозапуска добавьте скрипт в /opt/etc/init.d/. Графического интерфейса для AmneziaWG на Keenetic нет — только конфиг-файлы и CLI. Эта схема требует уверенного владения Linux и пониманием сетевых настроек Keenetic.

AmneziaWG на OpenWrt

Для OpenWrt существует пакет luci-app-amneziawg, который добавляет графический интерфейс в LuCI. Установка: 

opkg update
opkg install luci-app-amneziawg kmod-amneziawg

После установки в веб-интерфейсе OpenWrt появится раздел «AmneziaWG». Добавьте интерфейс, импортируйте конфиг .awg, настройте маршрутизацию через firewall-правила. Для полного туннелирования всего трафика домашней сети добавьте маршрут по умолчанию через awg-интерфейс.

Поддержка amneziawg openwrt и amneziawg keenetic развивается — следите за актуальными версиями пакетов в репозиториях amnezia-vpn на GitHub.

Частые вопросы об AmneziaWG

Чем AmneziaWG отличается от WireGuard?

+
AmneziaWG — это fork WireGuard с встроенной обфускацией трафика. Главные отличия: добавление мусорных (junk) пакетов в начале handshake, изменение формата заголовков, рандомизация magic header. В результате ТСПУ и DPI-системы не распознают AmneziaWG как WireGuard — трафик выглядит как случайный UDP-шум. Стандартный WireGuard по этим же параметрам легко блокируется в России.

Можно ли заблокировать AmneziaWG?

+
Теоретически — да, практически — сложно. AmneziaWG маскируется под произвольный UDP-трафик без характерных сигнатур WireGuard. Для блокировки потребуется либо паттерн-анализ всего UDP-шума, либо блокировка по IP адресам серверов. Блокировка по IP — реальная угроза для публичных серверов, поэтому при жёстких ограничениях AmneziaWG менее устойчив, чем VLESS Reality.

AmneziaWG работает в России в 2026?

+
В 2025–2026 годах AmneziaWG включён в списки протоколов, которые ТСПУ пытается блокировать. В части регионов и у части провайдеров он уже блокируется. Там, где он ещё проходит, основное ограничение — блокировка конкретных IP-адресов серверов. Для максимальной устойчивости сейчас надёжнее VLESS+Reality+XHTTP — он маскируется под реальный HTTPS к легитимному сайту и ТСПУ не может его заблокировать без блокировки всего HTTPS-трафика.

Какой клиент AmneziaWG для iPhone?

+
Официальный клиент — Amnezia VPN для iOS, доступен в App Store. Приложение поддерживает AmneziaWG и позволяет импортировать конфиги через QR-код или файл .awg. Альтернативы: нативного клиента WireGuard iOS конфиги .awg не поддерживает — нужен именно Amnezia VPN.

Какой клиент AmneziaWG для Android?

+
Официальный клиент — Amnezia VPN для Android, доступен в Google Play и RuStore. Также существует amneziawg-android — форк WireGuard Android с поддержкой .awg конфигов. Импортируйте конфиг через QR-код или файл от администратора сервера.

Можно ли AmneziaWG настроить на роутере Keenetic?

+
Да, но это требует технических навыков. Нужно установить Entware на Keenetic, затем через opkg установить amneziawg-go и wg-tools. Настройка производится через конфиг-файл в терминале — графического интерфейса для AmneziaWG на Keenetic нет. Готовых панелей управления как у стандартного WireGuard не существует.

AmneziaWG бесплатный?

+
Протокол и клиентское приложение Amnezia VPN — полностью бесплатны и open source (GitHub: amnezia-vpn). Но для использования AmneziaWG нужен сервер: либо собственный VPS (от 5–7 € в месяц на Hetzner), либо платный VPN-сервис. Amnezia VPN предлагает собственные платные серверы для тех, кто не хочет настраивать своё.

AmneziaWG vs VLESS Reality — что выбрать?

+
Зависит от задачи. AmneziaWG — обфусцированный WireGuard (UDP), быстрый, подходит для энтузиастов с собственным сервером. VLESS Reality маскируется под HTTPS к реальным сайтам — надёжнее при агрессивном DPI, так как блокировать его означает блокировать легитимный HTTPS-трафик. Для обычного пользователя, который хочет просто работающий VPN без настроек, VLESS Reality (как в Дымке) удобнее и устойчивее.

Сильно ли AmneziaWG замедляет интернет?

+
Потеря скорости по сравнению с обычным WireGuard составляет около 5–10%. Причина — дополнительные junk-пакеты в начале соединения и обработка модифицированных заголовков. По сравнению с прямым подключением потери зависят прежде всего от географии сервера (latency), а не от обфускации. На хорошем канале скорость остаётся высокой.

Безопасен ли AmneziaWG (нет ли бэкдоров)?

+
AmneziaWG — открытый проект. Исходный код форка доступен на GitHub (amnezia-vpn/amneziawg-go и соответствующие репозитории ядра). Криптографическая база — та же, что у WireGuard: Curve25519, ChaCha20-Poly1305. Бэкдоров в криптографии нет. Как и с любым VPN, доверяйте оператору сервера: он видит незашифрованный трафик.

Хотите готовое решение без настройки?

Дымка использует VLESS+Reality+XHTTP — другой подход к обходу ТСПУ, надёжный и не требующий настройки VPS или конфигов AmneziaWG.

Серверы в Финляндии, Нидерландах, Германии. Скорость до 500 Мбит/с. Бесплатно 1 ГБ/день. Первый месяц — 50 ₽.

⚡ Открыть @dymka_app_bot → Добавить прокси в Telegram

Telegram работает? Открой бота. Не подключается? Добавь прокси — бот появится сам.

Telegram-бот @dymka_app_bot · Подключение за 30 секунд · No-logs

Читать также