AmneziaWG : configuration et connexion en 2026

Si vous lisez ceci, il est probable que WireGuard ne fonctionne déjà plus pour vous. Le fournisseur a appris à le bloquer via DPI, et le tunnel ne se lève soit pas du tout, soit tombe après quelques minutes. AmneziaWG : configuration et connexion — c'est exactement ce dont vous avez besoin pour retrouver l'accès à YouTube, Instagram et Twitter/X sans avoir à jongler. Ci-dessous se trouve une instruction concrète sans fioritures.

Qu'est-ce qu'AmneziaWG et en quoi est-il différent de WireGuard

AmneziaWG est un fork de WireGuard avec une obfuscation de trafic ajoutée. WireGuard lui-même est un excellent protocole : rapide, économe en batterie, facile à configurer. Le problème est qu'il a une signature trop reconnaissable. Les systèmes DPI des fournisseurs et de Roskomnadzor ont depuis longtemps appris à l'attraper.

AmneziaWG résout cela au niveau du protocole, en ajoutant des paquets « poubelles » avant le handshake et en modifiant la structure même de l'échange initial. Pour le DPI, cela ressemble à un trafic UDP aléatoire — pas WireGuard, pas de VPN du tout.

Problème de WireGuard classique : pourquoi il est facilement bloqué par le DPI

WireGuard utilise une structure de handshake fixe : quatre messages avec des en-têtes et des tailles de paquets prévisibles. L'inspection approfondie des paquets se concentre précisément sur cette structure — et bloque la connexion avant même que le tunnel ne soit établi. Ce n'est pas un blocage par IP, c'est un blocage par signature de protocole.

Depuis 2024, les fournisseurs russes ont massivement commencé à appliquer ce type d'approche. Auparavant, WireGuard fonctionnait normalement sur des ports non standards, mais cela ne suffit plus.

Comment AmneziaWG masque le trafic (paquets junk, obfuscation du handshake)

L'obfuscation dans AmneziaWG est contrôlée par six paramètres principaux. Voici ce qu'ils signifient en pratique :

• Jc — le nombre de paquets « poubelles » que le client envoie avant le véritable handshake. On met généralement entre 3 et 10.
• Jmin / Jmax — la taille minimale et maximale de chaque paquet poubelle en octets. Par exemple, 50 et 1000 — les paquets seront de taille aléatoire dans cette plage.
• S1 / S2 — des octets supplémentaires ajoutés au premier et au deuxième message du handshake. Cela perturbe les systèmes qui analysent les longueurs de paquets.
• H1–H4 — en-têtes aléatoires pour chacun des quatre types de messages WireGuard. Au lieu des valeurs standard 1, 2, 3, 4 — n'importe quel nombre de 5 à 2^32.

L'essentiel à retenir : toutes ces valeurs doivent être identiques sur le client et sur le serveur. Absolument identiques. Si au moins un paramètre diffère — le handshake échouera.

Quand AmneziaWG est nécessaire, et quand le WireGuard classique suffit

Si votre WireGuard fonctionne — ne le touchez pas. Le WireGuard classique est plus rapide, plus facile à configurer et consomme moins de ressources. AmneziaWG est nécessaire précisément lorsque le fournisseur bloque WireGuard via DPI ou lorsque vous êtes sur un réseau avec filtrage actif (certaines réseaux d'entreprise, établissements d'enseignement, hôtels).

AmneziaWG est également utile si vous souhaitez vous connecter via Internet mobile là où l'opérateur bloque spécifiquement le trafic VPN.

Préparation : où obtenir la configuration AmneziaWG

Avant de passer à la configuration sur l'appareil, il faut se procurer un config. Deux voies réelles — monter son propre serveur ou en obtenir un prêt auprès d'un fournisseur.

Option 1 : serveur personnel via l'application AmneziaVPN

Un VPS avec n'importe quel Linux sera nécessaire — Ubuntu 22.04 ou Debian 12 conviennent parfaitement. L'application AmneziaVPN (amnezia.org) installera tout sur le serveur via SSH : vous entrez l'IP, le login et le mot de passe du VPS, choisissez le protocole AmneziaWG — et après quelques minutes, vous obtenez un QR code prêt ou un fichier .conf.

Exigences minimales pour le VPS : 512 Mo de RAM, 1 cœur CPU. Les serveurs en Allemagne, aux Pays-Bas, en Finlande conviennent — bon rapport ping/fiabilité pour les utilisateurs russes. Les prix commencent à partir de 3 à 5 euros par mois chez Hetzner ou DigitalOcean.

Option 2 : config prête d'un fournisseur VPN

Si vous n'avez pas de serveur personnel et que vous ne souhaitez pas en monter un — certains fournisseurs délivrent des configs AmneziaWG prêtes à l'emploi. Par exemple, NvoVPN prend en charge ce protocole et génère un fichier .conf directement dans le cabinet personnel. Vous le téléchargez, l'importez — c'est prêt.

Différence avec un serveur personnel : la config du fournisseur est plus simple, mais vous ne contrôlez pas le serveur. Votre propre serveur — plus de tracas lors de la configuration, mais un contrôle total sur les paramètres d'obfuscation et l'IP.

Ce qui doit figurer dans un bon fichier .conf et QR code

Une bonne config AmneziaWG ressemble à peu près à ceci :

[Interface]<votre clé privée><clé publique du serveur><IP du serveur>:51820

Si le fichier ne contient pas les paramètres Jc, Jmin, Jmax, S1, S2, H1–H4 — c'est un WireGuard ordinaire, et non AmneziaWG. Le code QR contient la même information sous forme codée.

Configuration d'AmneziaWG sur Android et iPhone/iOS

La configuration mobile est la plus simple. Tout le processus prend 3 à 5 minutes.

Installation de l'application AmneziaWG / AmneziaVPN

Sur Android, l'application s'appelle « AmneziaVPN » et est disponible sur Google Play. Il existe également un téléchargement direct de l'APK depuis GitHub (répertoire amnezia-vpn/amnezia-client) — cela est pertinent si le Play Market n'est pas disponible. Sur iOS — « Amnezia VPN » dans l'App Store, recherchez sous ce même nom.

Assurez-vous d'installer une version d'au moins 4.7 — les versions plus anciennes peuvent ne pas prendre en charge tous les paramètres d'obfuscation, et le handshake ne passera tout simplement pas.

Importation de la configuration via un fichier ou un code QR

Après avoir lancé l'application, appuyez sur « + » ou « Ajouter une configuration ». Vous verrez deux options : scanner le code QR ou importer un fichier.

Le code QR est plus pratique si vous avez généré la configuration sur un ordinateur — il suffit de montrer l'écran avec le code à la caméra du téléphone. Le fichier .conf peut être envoyé via Telegram, par e-mail ou dans le cloud, puis ouvert via « Partager » — l'application le récupérera automatiquement.

[Espace pour capture d'écran : écran d'importation de configuration dans AmneziaVPN sur Android]

Activation du tunnel et vérification de la connexion

Appuyez sur le profil ajouté, puis sur le grand bouton de connexion. Android demandera l'autorisation de créer une connexion VPN — acceptez. Le statut doit afficher « Connecté » et montrer le temps de connexion.

Vérifions : ouvrons le navigateur, allons sur 2ip.ru ou ipleak.net. L'adresse IP doit changer pour celle de votre serveur. Si l'IP est la même — le tunnel ne s'est pas établi.

[Espace pour capture d'écran : tunnel actif avec statut vert et statistiques de trafic]

Particularités d'iOS : profils et restrictions de fonctionnement en arrière-plan

Sur iOS, l'application installe un profil VPN système — c'est normal, cela doit être ainsi. Vous pouvez le vérifier dans « Réglages » → « VPN » → votre profil apparaîtra là.

Un point important : iOS tue agressivement les processus en arrière-plan pour économiser de l'énergie. La connexion VPN peut se couper après 10 à 15 minutes d'inactivité. Cela peut être corrigé en désactivant le « Mode Économie d'énergie » ou en activant Always-On VPN — mais cela nécessite un profil MDM (fonctionnalité d'entreprise). Pour un usage domestique, gardez simplement le téléphone en charge lors d'une utilisation prolongée du VPN.

Configuration d'AmneziaWG sur Windows et macOS

Sur le bureau, c'est similaire, il faut juste tenir compte des droits d'administrateur lors du premier lancement.

Installation du client de bureau AmneziaVPN

Allons sur amnezia.org ou sur GitHub (amnezia-vpn/amnezia-client, section Releases). Pour Windows, téléchargez AmneziaVPN-installer.exe, pour macOS — AmneziaVPN.dmg. La version actuelle au moment de l'écriture est 4.8.x.

Lors de l'installation sur Windows, une demande de droits d'administrateur apparaîtra — cela est nécessaire pour installer l'adaptateur réseau (WireGuard Tunnel Driver). Sans droits d'administrateur, le tunnel ne s'établira pas. Sur macOS, il demandera une autorisation dans « Préférences Système » → « Confidentialité et sécurité ».

Importation de la configuration et choix du protocole AmneziaWG

Ouvrons AmneziaVPN, appuyons sur « Ajouter une configuration » → « Importer depuis un fichier ». Sélectionnons notre fichier .conf. L'application déterminera automatiquement le type de protocole en fonction de la présence des paramètres d'obfuscation — assurez-vous que dans la section « Protocole », il est spécifié « AmneziaWG », et non « WireGuard ».

Si vous avez plusieurs configurations — assurez-vous d'avoir activé la bonne. Dans la liste, elles peuvent se ressembler.

Connexion et vérification via le test DNS-leak

Appuyons sur « Connecter ». Après 5 à 10 secondes, le statut doit changer en « Connecté ». Maintenant, une vérification importante — pas seulement l'IP, mais bien les fuites DNS.

Allons sur dnsleaktest.com, appuyons sur « Test étendu ». Tous les serveurs DNS dans les résultats doivent appartenir à votre fournisseur VPN ou serveur (généralement 1.1.1.1 ou 8.8.8.8 via VPN, et non les serveurs de votre fournisseur domestique). Si vous voyez des serveurs DNS de Rostelecom, MTS ou Beeline — il y a une fuite, et elle doit être corrigée via la configuration DNS dans le fichier de configuration.

Vérification du fonctionnement et test de vitesse

Connecté — bien. Maintenant, assurons-nous que tout fonctionne comme il se doit.

Comment s'assurer que le trafic passe bien par le VPN

Trois étapes : 1) vérification de l'IP sur 2ip.ru — cela doit être l'IP du serveur, 2) vérification DNS sur dnsleaktest.com — sans fuites, 3) ouvrons YouTube, Instagram, Twitter/X — ils doivent s'ouvrir sans ralentissement ni erreurs.

Si quelque chose des trois ne fonctionne pas — le tunnel ne s'est pas complètement établi ou il y a un problème de routage. La section sur les erreurs ci-dessous aidera à comprendre.

Réelle chute de vitesse due aux paquets junk

Réponse honnête : oui, la vitesse diminue. Les paquets junk sont un trafic supplémentaire réel qui consomme de la bande passante. Dans quelle mesure — dépend du paramètre Jc et des tailles de paquets (Jmin/Jmax).

La méthodologie que j'utilise : lancer Speedtest (speedtest.net ou fast.com) trois fois sans VPN, noter la moyenne. Puis trois fois avec AmneziaWG. La différence montrera la réelle chute sur votre canal et votre serveur. Fournir des chiffres spécifiques sans ce contexte est inutile, chacun aura des résultats différents.

Pour le streaming YouTube en 1080p, cela suffit généralement même avec l'obfuscation. Pour le 4K — cela dépend du serveur et de la distance jusqu'à celui-ci.

Test de contournement des blocages : YouTube, Instagram, Twitter/X

Nous ouvrons successivement youtube.com, instagram.com, twitter.com (X), facebook.com, tiktok.com. Tous doivent s'ouvrir sans redirection vers la page de blocage de Roskomnadzor. Telegram via AmneziaWG doit également fonctionner, bien qu'il ait ses propres mécanismes de contournement.

Si quelque chose ne s'ouvre pas, vérifiez AllowedIPs dans la configuration. Cela doit être 0.0.0.0/0, ::/0, et non des sous-réseaux spécifiques.

Erreurs typiques et leurs solutions

C'est la section la plus importante. La plupart des problèmes lors de la configuration d'AmneziaWG : la configuration et la connexion sont les mêmes pièges sur lesquels on retombe encore et encore.

Se connecte, mais pas d'internet (DNS et AllowedIPs)

Symptôme : le tunnel indique « Connecté », les statistiques montrent des octets envoyés et reçus, mais le navigateur n'ouvre pas les sites.

Raison 1 : un serveur DNS est spécifié dans la configuration, pour lequel il n'y a pas de route. Vérifiez la ligne DNS= dans la section [Interface]. Mettez 1.1.1.1 ou 8.8.8.8.

Raison 2 : AllowedIPs n'inclut pas tout le trafic. Cela doit être AllowedIPs = 0.0.0.0/0, ::/0. S'il y a des sous-réseaux spécifiques, le trafic vers d'autres adresses passe directement, contournant le VPN.

Le handshake ne passe pas (incompatibilité des paramètres d'obfuscation)

Symptôme : il n'y a pas de ligne « Handshake » dans les journaux de l'application ; les statistiques montrent des paquets envoyés, mais reçus — 0 ou très peu.

Raison : les paramètres Jc, Jmin, Jmax, S1, S2 et H1–H4 sur le client et le serveur ne correspondent pas. Même une seule différence — et le handshake ne passera pas. Ce n'est pas un bug, c'est intentionnel — les deux parties doivent « parler » le même dialecte.

Solution : prendre la configuration à nouveau depuis le serveur ou vérifier chaque paramètre manuellement. Si le serveur AmneziaVPN — réinstallez le tunnel via l'application, elle recréera la configuration avec les bonnes valeurs.

Une autre raison — les versions du client et du composant serveur ne sont pas compatibles. Si le serveur a une ancienne version d'Amnezia (avant 4.x), et que le client est nouveau — il peut y avoir des problèmes de prise en charge de certains paramètres. Mettez à jour les deux composants.

Le fournisseur bloque quand même — que changer

Cela arrive aussi. Le DPI s'adapte, et ce qui fonctionnait il y a trois mois est maintenant bloqué.

Premièrement : changez le port. Au lieu du standard 51820, essayez 443, 4500, 1194 ou tout nombre aléatoire supérieur à 10000. À modifier dans la ligne Endpoint de la configuration.

Deuxièmement : modifiez les paramètres des paquets junk. Augmentez Jc à 8–12, élargissez la plage Jmin/Jmax. Cela change la signature du trafic.

Troisièmement : si un IP spécifique du serveur est bloqué, et non la signature — l'obfuscation ne sera d'aucune aide. Un autre serveur avec un autre IP est nécessaire. C'est une limitation importante, souvent ignorée : AmneziaWG masque le protocole, mais ne rend pas l'IP invisible.

Quatrièmement : sur certains réseaux d'entreprise et universitaires, tous les ports UDP sont bloqués. AmneziaWG fonctionne par UDP — et le tunnel ne se lèvera pas du tout, peu importe ce que vous changez. Dans ce cas, un protocole TCP est nécessaire : OpenVPN en mode TCP/443 ou Shadowsocks.

Conflit avec un autre VPN ou un pare-feu

Symptôme : AmneziaWG ne se connecte pas sur l'ordinateur, bien que sur le téléphone avec la même configuration cela fonctionne.

Vérifiez : si un autre client VPN est désactivé (Cisco AnyConnect, OpenVPN, WireGuard standard). Deux VPN en même temps — c'est un moyen sûr de casser le routage. Vérifiez également le pare-feu Windows Defender — parfois, il bloque l'adaptateur WireGuard après les mises à jour de Windows.

Double NAT (routeur derrière routeur) peut également poser problème : les paquets se perdent au niveau de la traduction d'adresses. Si vous avez un équipement de fournisseur + un routeur domestique — essayez de vous connecter directement via le routeur du fournisseur.