AmneziaWG: configurazione e connessione nel 2026

Se stai leggendo questo, è probabile che WireGuard non funzioni più per te. Il provider ha imparato a bloccarlo tramite DPI, e il tunnel non si avvia affatto o si interrompe dopo pochi minuti. AmneziaWG: configurazione e connessione è esattamente ciò di cui hai bisogno per riaprire YouTube, Instagram e Twitter/X senza danze con il tamburo. Di seguito troverai istruzioni specifiche senza fronzoli.

Cos'è AmneziaWG e in cosa si differenzia da WireGuard

AmneziaWG è un fork di WireGuard con offuscamento del traffico aggiunto. WireGuard stesso è un ottimo protocollo: veloce, risparmia batteria, facile da configurare. Il problema è uno: la sua firma è troppo riconoscibile. I sistemi DPI dei provider e di Roskomnadzor hanno imparato a catturarla da tempo.

AmneziaWG risolve questo a livello di protocollo, aggiungendo pacchetti "spazzatura" prima del handshake e modificando la struttura stessa dello scambio iniziale. Per il DPI, questo appare come traffico UDP casuale — non WireGuard, non VPN in generale.

Il problema del WireGuard normale: perché è facilmente bloccato dal DPI

WireGuard utilizza una struttura di handshake fissa: quattro messaggi con intestazioni e dimensioni dei pacchetti prevedibili. L'Ispezione Profonda dei Pacchetti guarda proprio a questa struttura — e blocca la connessione prima ancora che il tunnel si avvii. Non si tratta di blocco per IP, ma di blocco per firma del protocollo.

Dal 2024, i provider russi hanno iniziato ad applicare massicciamente questo approccio. In passato WireGuard funzionava normalmente su porte non standard, ora questo non è più sufficiente.

Come AmneziaWG maschera il traffico (pacchetti spazzatura, offuscamento dell'handshake)

L'offuscamento in AmneziaWG è gestito da sei parametri principali. Ecco cosa significano nella pratica:

• Jc — numero di pacchetti "spazzatura" che il client invia prima del vero handshake. Di solito si impostano da 3 a 10.
• Jmin / Jmax — dimensione minima e massima di ogni pacchetto spazzatura in byte. Ad esempio, 50 e 1000 — i pacchetti saranno di dimensioni casuali in questo intervallo.
• S1 / S2 — byte aggiuntivi aggiunti al primo e al secondo messaggio di handshake. Confondono i sistemi che analizzano le lunghezze dei pacchetti.
• H1–H4 — intestazioni casuali per ciascuno dei quattro tipi di messaggi WireGuard. Invece dei valori standard 1, 2, 3, 4 — qualsiasi numero da 5 a 2^32.

La cosa principale da ricordare: tutti questi valori devono essere identici sul client e sul server. Assolutamente identici. Se anche solo un parametro è diverso — l'handshake non andrà a buon fine.

Quando è necessario AmneziaWG e quando basta il normale WireGuard

Se WireGuard funziona per te — non toccarlo. Il normale WireGuard è più veloce, più semplice da configurare e consuma meno risorse. AmneziaWG è necessario specificamente quando il provider blocca WireGuard tramite DPI o quando ti trovi in una rete con filtraggio attivo (alcune reti aziendali, istituti di istruzione, hotel).

AmneziaWG è anche utile se desideri connetterti con internet mobile dove l'operatore blocca specificamente il traffico VPN.

Preparazione: dove ottenere la configurazione di AmneziaWG

Prima di passare alla configurazione sul dispositivo, è necessario procurarsi il config. Due modi reali: sollevare il proprio server o prendere uno pronto dal provider.

Opzione 1: server proprio tramite l'app AmneziaVPN

Avrai bisogno di un VPS con qualsiasi Linux — Ubuntu 22.04 o Debian 12 andranno benissimo. L'app AmneziaVPN (amnezia.org) installerà tutto sul server tramite SSH: inserisci l'IP, il login e la password del VPS, scegli il protocollo AmneziaWG — e dopo pochi minuti ricevi un codice QR pronto o un file .conf.

Requisiti minimi per il VPS: 512 MB di RAM, 1 core CPU. I server in Germania, Paesi Bassi, Finlandia sono adatti — un buon rapporto ping e affidabilità per gli utenti russi. I costi partono da 3–5 euro al mese presso Hetzner o DigitalOcean.

Opzione 2: config pronto da un provider VPN

Se non hai un server proprio e non vuoi sollevarne uno — alcuni provider forniscono configurazioni pronte di AmneziaWG. Ad esempio, NvoVPN supporta questo protocollo e genera un file .conf direttamente nel pannello personale. Scarichi, importi — ed è fatto.

La differenza con un server proprio: la configurazione del provider è più semplice, ma non controlli il server. Un server proprio comporta più lavoro nella configurazione, ma offre il pieno controllo sui parametri di offuscamento e IP.

Cosa deve contenere un corretto file .conf e codice QR

Una corretta configurazione di AmneziaWG appare più o meno così:

[Interface]<la tua chiave privata><chiave pubblica del server><IP del server>:51820

Se nel file non ci sono parametri Jc, Jmin, Jmax, S1, S2, H1–H4 — è un normale WireGuard, non AmneziaWG. Il codice QR contiene le stesse informazioni in forma codificata.

Configurazione di AmneziaWG su Android e iPhone/iOS

La configurazione mobile è la più semplice. L'intero processo richiede 3–5 minuti.

Installazione dell'app AmneziaWG / AmneziaVPN

Su Android — l'app si chiama «AmneziaVPN» ed è disponibile su Google Play. C'è anche un download diretto dell'APK da GitHub (repository amnezia-vpn/amnezia-client) — questo è rilevante se il Play Market non è disponibile. Su iOS — «Amnezia VPN» nell'App Store, cerca con questo stesso nome.

Assicurati di installare una versione non inferiore alla 4.7 — versioni più vecchie potrebbero non supportare tutti i parametri di offuscamento, e il handshake semplicemente non andrà a buon fine.

Importazione della configurazione tramite file o codice QR

Dopo aver avviato l'app, premi «+» o «Aggiungi configurazione». Vedrai due opzioni: scansiona il codice QR o importa il file.

Il codice QR è più comodo se hai generato la configurazione sul computer — basta mostrare lo schermo con il codice alla fotocamera del telefono. Il file .conf può essere inviato tramite Telegram, email o cloud, e poi aperto tramite «Condividi» — l'app lo rileverà automaticamente.

[Spazio per screenshot: schermo di importazione della configurazione in AmneziaVPN su Android]

Attivazione del tunnel e verifica della connessione

Premi sul profilo aggiunto, poi sul grande pulsante di connessione. Android chiederà il permesso di creare una connessione VPN — accetta. Nello stato dovrebbe apparire «Connesso» e mostrare il tempo di connessione.

Verifichiamo: apriamo il browser, andiamo su 2ip.ru o ipleak.net. L'indirizzo IP dovrebbe cambiare in quello del tuo server. Se l'IP è lo stesso — il tunnel non si è attivato.

[Spazio per screenshot: tunnel attivo con stato verde e statistiche sul traffico]

Caratteristiche di iOS: profili e limitazioni del lavoro in background

Su iOS l'app installa un profilo VPN di sistema — è normale, deve essere così. Puoi verificarlo in «Impostazioni» → «VPN» → il tuo profilo apparirà lì.

Nota importante: iOS chiude aggressivamente i processi in background per risparmiare energia. La connessione VPN può interrompersi dopo 10–15 minuti di inattività. Si risolve disattivando la «Modalità a basso consumo» o attivando Always-On VPN — ma quest'ultima richiede un profilo MDM (funzionalità aziendale). Per uso domestico, basta tenere il telefono in carica durante un lungo utilizzo della VPN.

Configurazione di AmneziaWG su Windows e macOS

Sul desktop è tutto simile, solo che bisogna tenere conto dei diritti di amministratore al primo avvio.

Installazione del client desktop AmneziaVPN

Andiamo su amnezia.org o su GitHub (amnezia-vpn/amnezia-client, sezione Releases). Per Windows scarichiamo AmneziaVPN-installer.exe, per macOS — AmneziaVPN.dmg. La versione attuale al momento della scrittura è 4.8.x.

Durante l'installazione su Windows apparirà una richiesta di diritti di amministratore — questo è necessario per installare l'adattatore di rete (WireGuard Tunnel Driver). Senza diritti di amministratore il tunnel non si attiverà. Su macOS chiederà il permesso in «Impostazioni di sistema» → «Privacy e sicurezza».

Importazione della configurazione e scelta del protocollo AmneziaWG

Apriamo AmneziaVPN, premiamo «Aggiungi configurazione» → «Importa da file». Selezioniamo il nostro file .conf. L'app riconoscerà automaticamente il tipo di protocollo in base alla presenza di parametri di offuscamento — assicurati che nella sezione «Protocollo» sia indicato proprio «AmneziaWG», e non «WireGuard».

Se hai più configurazioni — assicurati di aver attivato quella corretta. Nella lista potrebbero sembrare simili.

Connessione e verifica tramite test DNS-leak

Premiamo «Connetti». Dopo 5–10 secondi lo stato dovrebbe cambiare in «Connesso». Ora una verifica importante — non solo l'IP, ma proprio le perdite DNS.

Andiamo su dnsleaktest.com, premiamo «Test esteso». Tutti i server DNS nei risultati devono appartenere al tuo provider VPN o server (di solito sono 1.1.1.1 o 8.8.8.8 tramite VPN, e non server del tuo provider domestico). Se vedi server DNS di Rostelecom, MTS o Beeline — c'è una perdita, e deve essere corretta tramite la configurazione DNS nel file di configurazione.

Verifica del funzionamento e test di velocità

Ci siamo connessi — bene. Ora assicuriamoci che tutto funzioni come dovrebbe.

Come assicurarsi che il traffico stia davvero passando attraverso la VPN

Tre passaggi: 1) verifica l'IP su 2ip.ru — deve essere l'IP del server, 2) verifica DNS su dnsleaktest.com — senza perdite, 3) apriamo YouTube, Instagram, Twitter/X — devono aprirsi senza rallentamenti e errori.

Se qualcosa dei tre non funziona — il tunnel non si è attivato completamente o c'è un problema di instradamento. La sezione sugli errori qui sotto aiuterà a risolvere.

Reale calo di velocità a causa di pacchetti junk

Risposta onesta: sì, la velocità diminuisce. I pacchetti junk sono un reale traffico aggiuntivo che consuma larghezza di banda. Quanto — dipende dal parametro Jc e dalle dimensioni dei pacchetti (Jmin/Jmax).

La metodologia che utilizzo: eseguire Speedtest (speedtest.net o fast.com) tre volte senza VPN, registrare la media. Poi tre volte con AmneziaWG. La differenza mostrerà il reale calo proprio sul tuo canale e sul tuo server. Fornire numeri specifici senza questo contesto è inutile, per ciascuno saranno diversi.

Per lo streaming di YouTube in 1080p di solito basta anche con offuscamento. Per 4K — dipende dal server e dalla distanza da esso.

Test di bypass delle restrizioni: YouTube, Instagram, Twitter/X

Apriamo a turno youtube.com, instagram.com, twitter.com (X), facebook.com, tiktok.com. Tutti devono aprirsi senza reindirizzamenti alla pagina di blocco di Roskomnadzor. Telegram tramite AmneziaWG deve funzionare anche, anche se ha i propri meccanismi di bypass.

Se qualcosa non si apre, controlla AllowedIPs nella configurazione. Deve essere impostato su 0.0.0.0/0, ::/0, e non su sottoreti specifiche.

Errori tipici e le loro soluzioni

Questa è la sezione più importante. La maggior parte dei problemi nella configurazione di AmneziaWG: configurazione e connessione sono le stesse trappole su cui si inciampa ripetutamente.

Si connette, ma non c'è internet (DNS e AllowedIPs)

Sintomo: il tunnel mostra "Connesso", le statistiche mostrano byte inviati e ricevuti, ma il browser non apre i siti.

Motivo 1: nella configurazione è specificato un server DNS per il quale non c'è percorso. Controlla la riga DNS= nella sezione [Interface]. Imposta 1.1.1.1 o 8.8.8.8.

Motivo 2: AllowedIPs non include tutto il traffico. Deve essere AllowedIPs = 0.0.0.0/0, ::/0. Se ci sono sottoreti specifiche, il traffico verso altri indirizzi va direttamente, bypassando il VPN.

L'handshake non passa (discrepanza nei parametri di offuscamento)

Sintomo: nei log dell'app non c'è la riga "Handshake"; le statistiche mostrano pacchetti inviati, ma ricevuti — 0 o molto pochi.

Motivo: i parametri Jc, Jmin, Jmax, S1, S2 e H1–H4 sul client e sul server non coincidono. Anche una sola differenza — e l'handshake non passerà. Non è un bug, è così che è progettato: entrambe le parti devono "parlare" lo stesso dialetto.

Soluzione: prendere la configurazione di nuovo dal server o confrontare ogni parametro manualmente. Se il server è AmneziaVPN, reinstallare il tunnel tramite l'app, essa ricreerà la configurazione con i valori corretti.

Un'altra ragione — le versioni del client e del componente server non sono compatibili. Se sul server è installata una vecchia versione di Amnezia (prima della 4.x), e il client è nuovo — potrebbero esserci problemi con il supporto di alcuni parametri. Aggiorna entrambi i componenti.

Il provider blocca comunque — cosa cambiare

Può succedere. Il DPI si adatta, e ciò che funzionava tre mesi fa oggi viene bloccato.

Primo: cambia la porta. Invece della standard 51820 prova 443, 4500, 1194 o qualsiasi casuale sopra 10000. Si modifica nella riga Endpoint della configurazione.

Secondo: modifica i parametri dei pacchetti junk. Aumenta Jc a 8–12, espandi l'intervallo Jmin/Jmax. Questo cambia la firma del traffico.

Terzo: se bloccano un IP specifico del server, e non la firma — l'offuscamento non aiuterà affatto. Serve un altro server con un altro IP. Questa è una limitazione importante, di cui si parla spesso in silenzio: AmneziaWG maschera il protocollo, ma non rende invisibile l'IP.

Quarto: su alcune reti aziendali e universitarie sono bloccate tutte le porte UDP. AmneziaWG funziona su UDP — e il tunnel non si alzerà affatto, qualunque cosa tu cambi. In questo caso serve il protocollo TCP: OpenVPN in modalità TCP/443 o Shadowsocks.

Conflitto con un altro VPN o firewall

Sintomo: AmneziaWG non si connette sul computer, anche se sul telefono funziona con la stessa configurazione.

Controlla: se un altro client VPN è disattivato (Cisco AnyConnect, OpenVPN, WireGuard standard). Due VPN contemporaneamente — è un modo sicuro per rompere la routing. Controlla anche Windows Defender Firewall — a volte blocca l'adattatore WireGuard dopo gli aggiornamenti di Windows.

Doppio NAT (router dietro router) può anche interferire: i pacchetti si perdono a livello di traduzione degli indirizzi. Se hai attrezzature del provider + router domestico — prova a connetterti direttamente tramite il router del provider.