AmneziaWG: Einrichtung und Verbindung im Jahr 2026

Wenn Sie das lesen, funktioniert WireGuard bei Ihnen wahrscheinlich nicht mehr. Der Anbieter hat gelernt, es über DPI zu blockieren, und das Tunnel wird entweder gar nicht aufgebaut oder fällt nach ein paar Minuten aus. AmneziaWG: Einrichtung und Verbindung — das ist genau das, was Sie brauchen, um YouTube, Instagram und Twitter/X wieder ohne großen Aufwand zu öffnen. Unten finden Sie eine konkrete Anleitung ohne Umschweife.

Was ist AmneziaWG und wie unterscheidet es sich von WireGuard

AmneziaWG ist ein Fork von WireGuard mit zusätzlicher Verkehrsoffuscierung. WireGuard selbst ist ein ausgezeichneter Protokoll: schnell, energiesparend, leicht einzurichten. Das Problem ist: seine Signatur ist zu erkennbar. DPI-Systeme von Anbietern und Roskomnadzor haben gelernt, sie zu erkennen.

AmneziaWG löst dies auf Protokollebene, indem es „Müll“-Pakete vor dem Handshake hinzufügt und die Struktur des anfänglichen Austauschs ändert. Für DPI sieht das wie zufälliger UDP-Verkehr aus — nicht WireGuard, nicht VPN überhaupt.

Das Problem mit gewöhnlichem WireGuard: warum es leicht von DPI blockiert wird

WireGuard verwendet eine feste Struktur für den Handshake: vier Nachrichten mit vorhersehbaren Headern und Paketgrößen. Deep Packet Inspection schaut genau auf diese Struktur — und blockiert die Verbindung, noch bevor das Tunnel aufgebaut wird. Das ist keine IP-Blockierung, das ist eine Blockierung nach Protokollsignatur.

Ab 2024 haben russische Anbieter massenhaft begonnen, genau diesen Ansatz anzuwenden. Früher funktionierte WireGuard normal auf nicht standardmäßigen Ports, jetzt rettet das nicht mehr.

Wie AmneziaWG den Verkehr maskiert (Junk-Pakete, Handshake-Offuscierung)

Die Offuscierung in AmneziaWG wird durch sechs Hauptparameter gesteuert. Das bedeuten sie in der Praxis:

• Jc — die Anzahl der „Müll“-Pakete, die der Client vor dem echten Handshake sendet. Normalerweise werden zwischen 3 und 10 eingestellt.
• Jmin / Jmax — die minimale und maximale Größe jedes Müll-Pakets in Bytes. Zum Beispiel 50 und 1000 — die Pakete werden eine zufällige Größe in diesem Bereich haben.
• S1 / S2 — zusätzliche Bytes, die zu den ersten beiden Nachrichten des Handshakes hinzugefügt werden. Sie verwirren Systeme, die die Längen der Pakete analysieren.
• H1–H4 — zufällige Header für jeden der vier Nachrichtentypen von WireGuard. Anstelle der Standardwerte 1, 2, 3, 4 — beliebige Zahlen von 5 bis 2^32.

Das Wichtigste, was man sich merken sollte: Alle diese Werte müssen auf dem Client und dem Server identisch sein. Absolut identisch. Wenn auch nur ein Parameter unterschiedlich ist — wird der Handshake nicht erfolgreich sein.

Wann AmneziaWG benötigt wird und wann gewöhnliches WireGuard ausreicht

Wenn Ihr WireGuard funktioniert — lassen Sie es in Ruhe. Gewöhnliches WireGuard ist schneller, einfacher einzurichten und verbraucht weniger Ressourcen. AmneziaWG wird genau dann benötigt, wenn der Anbieter WireGuard über DPI blockiert oder wenn Sie sich in einem Netzwerk mit aktiver Filterung befinden (einige Unternehmensnetzwerke, Bildungseinrichtungen, Hotels).

AmneziaWG ist auch nützlich, wenn Sie sich mit mobilem Internet dort verbinden möchten, wo der Anbieter speziell VPN-Verkehr blockiert.

Vorbereitung: Wo man die AmneziaWG-Konfiguration bekommt

Bevor Sie mit der Einrichtung auf dem Gerät beginnen, müssen Sie eine Konfiguration besorgen. Zwei reale Wege — einen eigenen Server aufsetzen oder eine fertige vom Anbieter nehmen.

Option 1: eigener Server über die AmneziaVPN-App

Sie benötigen einen VPS mit irgendeinem Linux — Ubuntu 22.04 oder Debian 12 sind hervorragend geeignet. Die AmneziaVPN-App (amnezia.org) installiert alles automatisch auf dem Server über SSH: Sie geben die IP, den Benutzernamen und das Passwort des VPS ein, wählen das Protokoll AmneziaWG — und nach ein paar Minuten erhalten Sie einen fertigen QR-Code oder eine .conf-Datei.

Mindestanforderungen an den VPS: 512 MB RAM, 1 CPU-Kern. Server in Deutschland, den Niederlanden, Finnland sind geeignet — ein gutes Verhältnis von Ping und Zuverlässigkeit für russische Benutzer. Die Kosten beginnen bei 3–5 Euro pro Monat bei Hetzner oder DigitalOcean.

Option 2: fertige Konfiguration vom VPN-Anbieter

Wenn Sie keinen eigenen Server haben und keinen aufsetzen möchten — einige Anbieter geben fertige AmneziaWG-Konfigurationen heraus. Zum Beispiel unterstützt NvoVPN dieses Protokoll und generiert die .conf-Datei direkt im persönlichen Bereich. Sie laden sie herunter, importieren sie — fertig.

Der Unterschied zum eigenen Server: Die Anbieter-Konfiguration ist einfacher, aber Sie kontrollieren den Server nicht. Ein eigener Server bedeutet mehr Aufwand bei der Einrichtung, aber vollständige Kontrolle über die Offuscierungsparameter und IP.

Was in der richtigen .conf-Datei und im QR-Code enthalten sein sollte

Die richtige AmneziaWG-Konfiguration sieht etwa so aus:

[Interface]<Ihr privater Schlüssel><öffentlicher Schlüssel des Servers><IP-Server>:51820

Wenn die Datei keine Parameter Jc, Jmin, Jmax, S1, S2, H1–H4 enthält — handelt es sich um ein normales WireGuard und nicht um AmneziaWG. Der QR-Code enthält dieselben Informationen in kodierter Form.

Einrichtung von AmneziaWG auf Android und iPhone/iOS

Die mobile Einrichtung ist am einfachsten. Der gesamte Prozess dauert 3–5 Minuten.

Installation der AmneziaWG / AmneziaVPN-App

Auf Android heißt die App „AmneziaVPN“ und ist im Google Play Store verfügbar. Es gibt auch einen direkten APK-Download von GitHub (Repository amnezia-vpn/amnezia-client) — das ist relevant, wenn der Play Market nicht verfügbar ist. Auf iOS — „Amnezia VPN“ im App Store, Suche nach diesem Namen.

Stellen Sie sicher, dass Sie eine Version nicht niedriger als 4.7 installieren — ältere Versionen unterstützen möglicherweise nicht alle Obfuskationsparameter, und der Handshake wird einfach nicht funktionieren.

Import der Konfiguration über Datei oder QR-Code

Nach dem Start der App drücken Sie „+“ oder „Konfiguration hinzufügen“. Sie sehen zwei Optionen: QR-Code scannen oder Datei importieren.

Der QR-Code ist bequemer, wenn Sie die Konfiguration auf dem Computer generiert haben — zeigen Sie einfach den Bildschirm mit dem Code der Kamera des Telefons. Die .conf-Datei kann über Telegram, E-Mail oder Cloud übertragen werden und dann über „Teilen“ geöffnet werden — die App wird sie automatisch erkennen.

[Platz für Screenshot: Bildschirm zum Importieren der Konfiguration in AmneziaVPN auf Android]

Aktivierung des Tunnels und Überprüfung der Verbindung

Tippen Sie auf das hinzugefügte Profil und dann auf die große Verbindungstaste. Android fragt nach der Erlaubnis zur Erstellung einer VPN-Verbindung — stimmen Sie zu. Im Status sollte „Verbunden“ erscheinen und die Verbindungszeit angezeigt werden.

Überprüfen: Öffnen Sie den Browser, gehen Sie zu 2ip.ru oder ipleak.net. Die IP-Adresse sollte sich in die Adresse Ihres Servers ändern. Wenn die IP die gleiche bleibt — der Tunnel wurde nicht aktiviert.

[Platz für Screenshot: aktiver Tunnel mit grünem Status und Verkehrsstatisik]

Besonderheiten von iOS: Profile und Einschränkungen der Hintergrundarbeit

Auf iOS installiert die App ein systemweites VPN-Profil — das ist normal, so sollte es sein. Sie können es in „Einstellungen“ → „VPN“ überprüfen — Ihr Profil wird dort erscheinen.

Wichtiger Hinweis: iOS beendet aggressiv Hintergrundprozesse zur Energieeinsparung. Die VPN-Verbindung kann nach 10–15 Minuten Inaktivität unterbrochen werden. Dies kann behoben werden, indem der „Energiesparmodus“ deaktiviert oder Always-On VPN aktiviert wird — letzteres erfordert jedoch ein MDM-Profil (unternehmerische Funktionalität). Für den Heimgebrauch halten Sie einfach das Telefon bei längerer Nutzung von VPN am Ladegerät.

Einrichtung von AmneziaWG auf Windows und macOS

Auf dem Desktop ist alles ähnlich, nur müssen Sie bei der ersten Ausführung die Administratorrechte berücksichtigen.

Installation des Desktop-Clients AmneziaVPN

Gehen Sie zu amnezia.org oder zu GitHub (amnezia-vpn/amnezia-client, Abschnitt Releases). Für Windows laden Sie AmneziaVPN-installer.exe herunter, für macOS — AmneziaVPN.dmg. Die aktuelle Version zum Zeitpunkt des Schreibens ist 4.8.x.

Bei der Installation auf Windows wird eine Anfrage nach Administratorrechten angezeigt — dies ist erforderlich, um den Netzwerkadapter (WireGuard Tunnel Driver) zu installieren. Ohne Administratorrechte wird der Tunnel nicht aktiviert. Auf macOS wird um Erlaubnis in „Systemeinstellungen“ → „Datenschutz und Sicherheit“ gebeten.

Import der Konfiguration und Auswahl des AmneziaWG-Protokolls

Öffnen Sie AmneziaVPN, klicken Sie auf „Konfiguration hinzufügen“ → „Aus Datei importieren“. Wählen Sie unsere .conf-Datei aus. Die App erkennt automatisch den Protokolltyp anhand der Obfuskationsparameter — stellen Sie sicher, dass im Abschnitt „Protokoll“ genau „AmneziaWG“ angegeben ist und nicht „WireGuard“.

Wenn Sie mehrere Konfigurationen haben — stellen Sie sicher, dass Sie die richtige aktiviert haben. In der Liste können sie ähnlich aussehen.

Verbindung und Überprüfung durch DNS-Leak-Test

Klicken Sie auf „Verbinden“. Nach 5–10 Sekunden sollte der Status auf „Verbunden“ wechseln. Jetzt eine wichtige Überprüfung — nicht nur die IP, sondern speziell die DNS-Lecks.

Gehen Sie zu dnsleaktest.com, klicken Sie auf „Erweiterter Test“. Alle DNS-Server in den Ergebnissen sollten Ihrem VPN-Anbieter oder Server gehören (normalerweise ist das 1.1.1.1 oder 8.8.8.8 über VPN und nicht die Server Ihres Heimproviders). Wenn Sie DNS-Server von Rostelecom, MTS oder Beeline sehen — gibt es ein Leck, das durch die DNS-Einstellungen in der Konfiguration behoben werden muss.

Überprüfung der Funktionalität und Geschwindigkeitstest

Verbunden — gut. Jetzt stellen wir sicher, dass alles so funktioniert, wie es sollte.

Wie man sicherstellt, dass der Verkehr tatsächlich über VPN läuft

Drei Schritte: 1) IP-Überprüfung auf 2ip.ru — es sollte die IP des Servers sein, 2) DNS-Überprüfung auf dnsleaktest.com — ohne Lecks, 3) öffnen Sie YouTube, Instagram, Twitter/X — sie sollten ohne Verzögerung und Fehler geöffnet werden.

Wenn etwas von den drei nicht funktioniert — der Tunnel wurde nicht vollständig aktiviert oder es gibt ein Problem mit der Routenführung. Der Abschnitt mit Fehlern unten hilft, das zu klären.

Echter Geschwindigkeitsverlust durch Junk-Pakete

Ehrliche Antwort: ja, die Geschwindigkeit sinkt. Junk-Pakete sind echter zusätzlicher Verkehr, der die Bandbreite beansprucht. Wie viel — hängt von den Parametern Jc und den Paketgrößen (Jmin/Jmax) ab.

Die Methodologie, die ich verwende: Führen Sie Speedtest (speedtest.net oder fast.com) dreimal ohne VPN durch, notieren Sie den Durchschnitt. Dann dreimal mit AmneziaWG. Der Unterschied zeigt den tatsächlichen Geschwindigkeitsverlust auf Ihrem Kanal und Ihrem Server. Konkrete Zahlen ohne diesen Kontext anzugeben — macht keinen Sinn, da sie bei jedem unterschiedlich sein werden.

Für das Streaming von YouTube in 1080p reicht es normalerweise sogar mit Obfuskation. Für 4K — hängt von dem Server und der Entfernung zu ihm ab.

Test zum Umgehen von Blockaden: YouTube, Instagram, Twitter/X

Wir öffnen nacheinander youtube.com, instagram.com, twitter.com (X), facebook.com, tiktok.com. Alle sollten sich ohne Umleitungen zur Sperrseite von Roskomnadsor öffnen. Telegram über AmneziaWG sollte ebenfalls funktionieren, obwohl es eigene Umgehungsmechanismen hat.

Wenn etwas nicht geöffnet wird — überprüfen Sie AllowedIPs in der Konfiguration. Es sollte 0.0.0.0/0, ::/0 stehen, nicht spezifische Subnetze.

Typische Fehler und deren Lösung

Das ist der wichtigste Abschnitt. Die meisten Probleme bei der Einrichtung von AmneziaWG: Konfiguration und Verbindung — das sind die gleichen Stolpersteine, auf die man immer wieder tritt.

Es verbindet sich, aber es gibt kein Internet (DNS und AllowedIPs)

Symptom: Der Tunnel zeigt „Connected“, die Statistik zeigt gesendete und empfangene Bytes, aber der Browser öffnet keine Seiten.

Grund 1: In der Konfiguration ist ein DNS-Server eingetragen, zu dem es keinen Weg gibt. Überprüfen Sie die Zeile DNS= im Abschnitt [Interface]. Setzen Sie 1.1.1.1 oder 8.8.8.8.

Grund 2: AllowedIPs umfasst nicht den gesamten Verkehr. Es sollte AllowedIPs = 0.0.0.0/0, ::/0 sein. Wenn dort spezifische Subnetze eingetragen sind — geht der Verkehr zu anderen Adressen direkt, umgeht das VPN.

Handshake schlägt fehl (Parameter für Obfuskation stimmen nicht überein)

Symptom: In den Logs der Anwendung fehlt die Zeile „Handshake“; die Statistik zeigt gesendete Pakete, aber empfangene — 0 oder sehr wenig.

Grund: Die Parameter Jc, Jmin, Jmax, S1, S2 und H1–H4 stimmen auf dem Client und dem Server nicht überein. Schon eine Abweichung — und der Handshake wird nicht erfolgreich sein. Das ist kein Bug, sondern so vorgesehen — beide Seiten müssen „in einem Dialekt“ sprechen.

Lösung: Holen Sie sich die Konfiguration erneut vom Server oder vergleichen Sie jeden Parameter manuell. Wenn der Server AmneziaVPN ist — installieren Sie den Tunnel über die Anwendung neu, sie wird die Konfiguration mit den richtigen Werten neu erstellen.

Ein weiterer Grund — die Version des Clients und des Serverkomponenten sind inkompatibel. Wenn auf dem Server eine alte Version von Amnezia (vor 4.x) läuft und der Client neu ist — kann es Probleme mit der Unterstützung einiger Parameter geben. Aktualisieren Sie beide Komponenten.

Der Anbieter blockiert trotzdem — was zu ändern ist

So etwas kommt vor. DPI passt sich an, und was vor drei Monaten funktionierte, wird heute blockiert.

Erstens: Ändern Sie den Port. Statt des Standardport 51820 versuchen Sie 443, 4500, 1194 oder einen beliebigen zufälligen über 10000. Dies wird in der Zeile Endpoint der Konfiguration bearbeitet.

Zweitens: Ändern Sie die Parameter der Junk-Pakete. Erhöhen Sie Jc auf 8–12, erweitern Sie den Bereich Jmin/Jmax. Das ändert die Signatur des Verkehrs.

Drittens: Wenn eine spezifische IP des Servers blockiert wird und nicht die Signatur — hilft die Obfuskation überhaupt nicht. Ein anderer Server mit einer anderen IP ist erforderlich. Das ist eine wichtige Einschränkung, über die oft geschwiegen wird: AmneziaWG maskiert das Protokoll, macht die IP aber nicht unsichtbar.

Viertens: In einigen Unternehmens- und Universitätsnetzwerken sind alle UDP-Ports blockiert. AmneziaWG funktioniert über UDP — und der Tunnel wird überhaupt nicht aufgebaut, egal was Sie ändern. In diesem Fall wird das TCP-Protokoll benötigt: OpenVPN im TCP/443-Modus oder Shadowsocks.

Konflikt mit einem anderen VPN oder einer Firewall

Symptom: AmneziaWG verbindet sich nicht auf dem Computer, obwohl es auf dem Telefon mit derselben Konfiguration funktioniert.

Überprüfen Sie: Ist ein anderer VPN-Client (Cisco AnyConnect, OpenVPN, standardmäßiger WireGuard) deaktiviert? Zwei VPNs gleichzeitig — ein sicherer Weg, die Routing zu brechen. Überprüfen Sie auch die Windows Defender Firewall — manchmal blockiert sie den WireGuard-Adapter nach Windows-Updates.

Doppeltes NAT (Router hinter Router) kann ebenfalls stören: Pakete gehen auf der Ebene der Adressübersetzung verloren. Wenn Sie Anbieterhardware + einen Heimrouter haben — versuchen Sie, sich direkt über den Anbieter-Router zu verbinden.