AmneziaWG: configuración y conexión en 2026

Si estás leyendo esto, es probable que WireGuard ya no funcione para ti. El proveedor ha aprendido a bloquearlo a través de DPI, y el túnel no se establece en absoluto o se cae después de unos minutos. AmneziaWG: configuración y conexión es exactamente lo que necesitas para volver a abrir YouTube, Instagram y Twitter/X sin complicaciones. A continuación, una guía concreta sin rodeos.

Qué es AmneziaWG y en qué se diferencia de WireGuard

AmneziaWG es un fork de WireGuard con ofuscación de tráfico añadida. WireGuard en sí es un excelente protocolo: rápido, ahorra batería, fácil de configurar. El problema es uno: su firma es demasiado reconocible. Los sistemas DPI de los proveedores y de Roskomnadzor han aprendido a detectarlo hace tiempo.

AmneziaWG resuelve esto a nivel de protocolo, añadiendo paquetes "basura" antes del handshake y cambiando la estructura misma del intercambio inicial. Para DPI, esto parece tráfico UDP aleatorio — no WireGuard, no VPN en absoluto.

Problema del WireGuard normal: por qué es fácil de bloquear por DPI

WireGuard utiliza una estructura de handshake fija: cuatro mensajes con encabezados y tamaños de paquetes predecibles. La Inspección Profunda de Paquetes observa precisamente esta estructura — y bloquea la conexión incluso antes de que el túnel se haya establecido. No es un bloqueo por IP, es un bloqueo por firma de protocolo.

Desde 2024, los proveedores rusos han comenzado a aplicar masivamente este enfoque. Antes, WireGuard funcionaba bien en puertos no estándar, ahora eso ya no ayuda.

Cómo AmneziaWG oculta el tráfico (paquetes basura, ofuscación del handshake)

La ofuscación en AmneziaWG se gestiona mediante seis parámetros principales. Esto es lo que significan en la práctica:

• Jc — número de paquetes "basura" que el cliente envía antes del verdadero handshake. Normalmente se establece entre 3 y 10.
• Jmin / Jmax — tamaño mínimo y máximo de cada paquete basura en bytes. Por ejemplo, 50 y 1000 — los paquetes serán de tamaño aleatorio en este rango.
• S1 / S2 — bytes adicionales añadidos al primer y segundo mensaje del handshake. Confunden a los sistemas que analizan las longitudes de los paquetes.
• H1–H4 — encabezados aleatorios para cada uno de los cuatro tipos de mensajes de WireGuard. En lugar de los valores estándar 1, 2, 3, 4 — cualquier número del 5 a 2^32.

Lo principal que hay que recordar: todos estos valores deben ser idénticos en el cliente y en el servidor. Absolutamente idénticos. Si al menos un parámetro es diferente — el handshake no pasará.

Cuándo se necesita AmneziaWG y cuándo es suficiente con WireGuard normal

Si tu WireGuard funciona — no lo toques. WireGuard normal es más rápido, más fácil de configurar y consume menos recursos. AmneziaWG es necesario específicamente cuando el proveedor corta WireGuard a través de DPI o cuando estás en una red con filtración activa (algunas redes corporativas, instituciones educativas, hoteles).

AmneziaWG también es útil si deseas conectarte desde internet móvil donde el operador bloquea específicamente el tráfico VPN.

Preparación: dónde obtener la configuración de AmneziaWG

Antes de pasar a la configuración en el dispositivo, necesitas conseguir el config. Dos formas reales: levantar tu propio servidor o conseguir uno listo del proveedor.

Opción 1: servidor propio a través de la aplicación AmneziaVPN

Necesitarás un VPS con cualquier Linux — Ubuntu 22.04 o Debian 12 son excelentes. La aplicación AmneziaVPN (amnezia.org) instalará todo en el servidor a través de SSH: introduces la IP, el nombre de usuario y la contraseña del VPS, eliges el protocolo AmneziaWG — y en unos minutos obtienes un código QR listo o un archivo .conf.

Requisitos mínimos para el VPS: 512 MB de RAM, 1 núcleo de CPU. Servidores en Alemania, Países Bajos, Finlandia son adecuados — buena relación de ping y fiabilidad para usuarios rusos. El costo comienza desde 3–5 euros al mes en Hetzner o DigitalOcean.

Opción 2: config listo de un proveedor de VPN

Si no tienes tu propio servidor y no quieres levantar uno — algunos proveedores ofrecen configs listos de AmneziaWG. Por ejemplo, NvoVPN soporta este protocolo y genera un archivo .conf directamente en el panel de usuario. Descargas, importas — listo.

La diferencia con un servidor propio: el config del proveedor es más simple, pero no controlas el servidor. Tu propio servidor — más complicaciones al configurarlo, pero control total sobre los parámetros de ofuscación y IP.

Qué debe haber en un archivo .conf y código QR correcto

Un config correcto de AmneziaWG se ve aproximadamente así:

[Interface]<tu clave privada><clave pública del servidor><IP del servidor>:51820

Si en el archivo no hay parámetros Jc, Jmin, Jmax, S1, S2, H1–H4 — es un WireGuard normal, no AmneziaWG. El código QR contiene la misma información en forma codificada.

Configuración de AmneziaWG en Android y iPhone/iOS

La configuración móvil es lo más sencillo. Todo el proceso toma de 3 a 5 minutos.

Instalación de la aplicación AmneziaWG / AmneziaVPN

En Android, la aplicación se llama «AmneziaVPN» y está disponible en Google Play. También hay una descarga directa de APK desde GitHub (repositorio amnezia-vpn/amnezia-client) — esto es relevante si Play Market no está disponible. En iOS — «Amnezia VPN» en App Store, búsqueda por este mismo nombre.

Asegúrate de instalar una versión no inferior a 4.7 — versiones más antiguas pueden no soportar todos los parámetros de ofuscación, y el handshake simplemente no pasará.

Importar configuración a través de archivo o código QR

Después de iniciar la aplicación, presiona «+» o «Agregar configuración». Verás dos opciones: escanear código QR o importar archivo.

El código QR es más conveniente si generaste la configuración en la computadora — simplemente muestra la pantalla con el código a la cámara del teléfono. El archivo .conf se puede enviar a través de Telegram, correo o nube, y luego abrir a través de «Compartir» — la aplicación lo recogerá automáticamente.

[Lugar para captura de pantalla: pantalla de importación de configuración en AmneziaVPN en Android]

Activación del túnel y verificación de la conexión

Presiona el perfil agregado, luego el gran botón de conexión. Android pedirá permiso para crear una conexión VPN — acepta. En el estado debería aparecer «Conectado» y mostrar el tiempo de conexión.

Verificamos: abrimos el navegador, vamos a 2ip.ru o ipleak.net. La dirección IP debería cambiar a la dirección de tu servidor. Si la IP es la misma — el túnel no se levantó.

[Lugar para captura de pantalla: túnel activo con estado verde y estadísticas de tráfico]

Características de iOS: perfiles y restricciones de trabajo en segundo plano

En iOS, la aplicación establece un perfil VPN del sistema — esto es normal, así debe ser. Puedes verificarlo en «Configuración» → «VPN» → tu perfil aparecerá allí.

Un matiz importante: iOS mata agresivamente los procesos en segundo plano para ahorrar energía. La conexión VPN puede desconectarse después de 10–15 minutos de inactividad. Se soluciona desactivando el «Modo de bajo consumo» o activando Always-On VPN — pero esto requiere un perfil MDM (funcionalidad corporativa). Para uso doméstico, simplemente mantén el teléfono cargando durante un uso prolongado de VPN.

Configuración de AmneziaWG en Windows y macOS

En el escritorio es todo similar, solo hay que tener en cuenta los derechos de administrador al primer inicio.

Instalación del cliente de escritorio AmneziaVPN

Vamos a amnezia.org o a GitHub (amnezia-vpn/amnezia-client, sección Releases). Para Windows descargamos AmneziaVPN-installer.exe, para macOS — AmneziaVPN.dmg. La versión actual al momento de escribir es 4.8.x.

Al instalar en Windows aparecerá una solicitud de derechos de administrador — esto es necesario para instalar el adaptador de red (WireGuard Tunnel Driver). Sin derechos de administrador, el túnel no se levantará. En macOS pedirá permiso en «Preferencias del sistema» → «Privacidad y seguridad».

Importación de configuración y selección del protocolo AmneziaWG

Abrimos AmneziaVPN, presionamos «Agregar configuración» → «Importar desde archivo». Seleccionamos nuestro archivo .conf. La aplicación determinará automáticamente el tipo de protocolo por la presencia de parámetros de ofuscación — asegúrate de que en la sección «Protocolo» esté indicado «AmneziaWG», y no «WireGuard».

Si tienes varias configuraciones — asegúrate de que activaste la correcta. En la lista pueden parecer similares.

Conexión y verificación a través de prueba de DNS-leak

Presionamos «Conectar». Después de 5–10 segundos, el estado debería cambiar a «Conectado». Ahora una verificación importante — no solo la IP, sino específicamente las filtraciones de DNS.

Vamos a dnsleaktest.com, presionamos «Prueba extendida». Todos los servidores DNS en los resultados deben pertenecer a tu proveedor de VPN o servidor (normalmente es 1.1.1.1 o 8.8.8.8 a través de VPN, y no servidores de tu proveedor doméstico). Si ves servidores DNS de Rostelecom, MTS o Beeline — hay una filtración, y debe corregirse a través de la configuración de DNS en la configuración.

Verificación de funcionamiento y prueba de velocidad

Nos conectamos — bien. Ahora asegurémonos de que todo funcione como debería.

Cómo asegurarse de que el tráfico realmente pase a través de VPN

Tres pasos: 1) verificación de IP en 2ip.ru — debe ser la IP del servidor, 2) verificación de DNS en dnsleaktest.com — sin filtraciones, 3) abrimos YouTube, Instagram, Twitter/X — deben abrirse sin ralentizaciones ni errores.

Si algo de los tres no funciona — el túnel no se levantó completamente o hay un problema de enrutamiento. La sección de errores a continuación ayudará a resolverlo.

Caída real de velocidad debido a paquetes junk

Respuesta honesta: sí, la velocidad cae. Los paquetes junk son tráfico adicional real que consume ancho de banda. Cuánto — depende del parámetro Jc y del tamaño de los paquetes (Jmin/Jmax).

Metodología que utilizo: ejecutar Speedtest (speedtest.net o fast.com) tres veces sin VPN, registrar el promedio. Luego tres veces con AmneziaWG. La diferencia mostrará la caída real precisamente en tu canal y tu servidor. Dar cifras concretas sin este contexto — es inútil, cada uno tendrá diferentes.

Para streaming de YouTube en 1080p generalmente es suficiente incluso con ofuscación. Para 4K — depende del servidor y la distancia a él.

Prueba de elusión de bloqueos: YouTube, Instagram, Twitter/X

Abrimos secuencialmente youtube.com, instagram.com, twitter.com (X), facebook.com, tiktok.com. Todos deben abrirse sin redireccionamientos a la página de bloqueo de Roskomnadzor. Telegram a través de AmneziaWG también debe funcionar, aunque tiene sus propios mecanismos de evasión.

Si algo no se abre, verifique AllowedIPs en la configuración. Debe estar 0.0.0.0/0, ::/0, y no subredes específicas.

Errores típicos y su solución

Esta es la sección más importante. La mayoría de los problemas al configurar AmneziaWG: la configuración y la conexión son los mismos escollos en los que se tropieza una y otra vez.

Se conecta, pero no hay internet (DNS y AllowedIPs)

Síntoma: el túnel muestra "Conectado", las estadísticas muestran bytes enviados y recibidos, pero el navegador no abre sitios.

Razón 1: en la configuración se ha especificado un servidor DNS al que no hay ruta. Verifique la línea DNS= en la sección [Interface]. Ponga 1.1.1.1 o 8.8.8.8.

Razón 2: AllowedIPs no incluye todo el tráfico. Debe ser AllowedIPs = 0.0.0.0/0, ::/0. Si hay subredes específicas, el tráfico a otras direcciones va directamente, omitiendo el VPN.

El handshake no pasa (desajuste de parámetros de ofuscación)

Síntoma: en los registros de la aplicación no hay la línea "Handshake"; las estadísticas muestran paquetes enviados, pero recibidos — 0 o muy pocos.

Razón: los parámetros Jc, Jmin, Jmax, S1, S2 y H1–H4 en el cliente y el servidor no coinciden. Incluso una diferencia — y el handshake no pasará. No es un bug, así está diseñado: ambas partes deben "hablar" el mismo dialecto.

Solución: obtener la configuración de nuevo del servidor o verificar cada parámetro manualmente. Si el servidor es AmneziaVPN, reinstale el túnel a través de la aplicación, creará de nuevo la configuración con los valores correctos.

Otra razón — las versiones del cliente y del componente del servidor son incompatibles. Si en el servidor hay una versión antigua de Amnezia (antes de 4.x), y el cliente es nuevo — pueden haber problemas con el soporte de algunos parámetros. Actualice ambos componentes.

El proveedor sigue bloqueando — qué cambiar

A veces sucede. DPI se adapta, y lo que funcionaba hace tres meses, hoy está bloqueado.

Primero: cambie el puerto. En lugar del estándar 51820, pruebe 443, 4500, 1194 o cualquier aleatorio por encima de 10000. Se edita en la línea Endpoint de la configuración.

Segundo: cambie los parámetros de paquetes junk. Aumente Jc a 8–12, amplíe el rango Jmin/Jmax. Esto cambia la firma del tráfico.

Tercero: si bloquean una IP específica del servidor, y no la firma — la ofuscación no ayudará en absoluto. Se necesita otro servidor con otra IP. Esta es una limitación importante, de la que a menudo se habla en silencio: AmneziaWG oculta el protocolo, pero no hace que la IP sea invisible.

Cuarto: en algunas redes corporativas y universitarias están bloqueados todos los puertos UDP. AmneziaWG funciona por UDP — y el túnel no se levantará en absoluto, sin importar lo que cambie. En este caso, se necesita el protocolo TCP: OpenVPN en modo TCP/443 o Shadowsocks.

Conflicto con otro VPN o firewall

Síntoma: AmneziaWG no se conecta en la computadora, aunque en el teléfono funciona con la misma configuración.

Verifique: si otro cliente VPN está desactivado (Cisco AnyConnect, OpenVPN, WireGuard estándar). Dos VPN al mismo tiempo — es una forma segura de romper la ruta. También verifique el Firewall de Windows Defender — a veces bloquea el adaptador WireGuard después de las actualizaciones de Windows.

Doble NAT (router detrás de router) también puede interferir: los paquetes se pierden a nivel de traducción de direcciones. Si tiene equipo del proveedor + router doméstico — intente conectarse directamente a través del router del proveedor.