AmneziaWG: konfiguracja i połączenie w 2026 roku

Jeśli to czytasz, prawdopodobnie WireGuard już nie działa. Dostawca nauczył się go blokować przez DPI, a tunel albo w ogóle się nie uruchamia, albo pada po kilku minutach. AmneziaWG: konfiguracja i połączenie — to właśnie to, czego potrzebujesz, aby ponownie otworzyć YouTube, Instagram i Twitter/X bez zbędnych komplikacji. Poniżej znajduje się konkretna instrukcja bez zbędnych słów.

Czym jest AmneziaWG i czym różni się od WireGuard

AmneziaWG to fork WireGuard z dodaną obfuskacją ruchu. Sam WireGuard to doskonały protokół: szybki, oszczędzający baterię, łatwy w konfiguracji. Problem jest jeden: jego sygnatura jest zbyt rozpoznawalna. Systemy DPI dostawców i Roskomnadzoru od dawna nauczyły się ją wychwytywać.

AmneziaWG rozwiązuje to na poziomie protokołu, dodając „śmieciowe” pakiety przed handshake'iem i zmieniając samą strukturę początkowej wymiany. Dla DPI wygląda to jak przypadkowy ruch UDP — nie WireGuard, nie VPN w ogóle.

Problem zwykłego WireGuard: dlaczego łatwo go blokuje DPI

WireGuard używa stałej struktury handshake'u: cztery wiadomości z przewidywalnymi nagłówkami i rozmiarami pakietów. Deep Packet Inspection zwraca uwagę właśnie na tę strukturę — i blokuje połączenie jeszcze przed tym, jak tunel się uruchomi. To nie jest blokada po IP, to blokada po sygnaturze protokołu.

Od 2024 roku rosyjscy dostawcy masowo zaczęli stosować właśnie takie podejście. Wcześniej WireGuard działał normalnie na niestandardowych portach, teraz to już nie pomaga.

Jak AmneziaWG maskuje ruch (śmieciowe pakiety, obfuskacja handshake'u)

Obfuskacja w AmneziaWG jest zarządzana przez sześć głównych parametrów. Oto co one oznaczają w praktyce:

• Jc — liczba „śmieciowych” pakietów, które klient wysyła przed prawdziwym handshake'iem. Zwykle ustawia się od 3 do 10.
• Jmin / Jmax — minimalny i maksymalny rozmiar każdego śmieciowego pakietu w bajtach. Na przykład, 50 i 1000 — pakiety będą losowej wielkości w tym zakresie.
• S1 / S2 — dodatkowe bajty dodawane do pierwszej i drugiej wiadomości handshake'u. Myli to systemy, które analizują długości pakietów.
• H1–H4 — losowe nagłówki dla każdego z czterech typów wiadomości WireGuard. Zamiast standardowych wartości 1, 2, 3, 4 — dowolne liczby od 5 do 2^32.

Najważniejsze, co należy zapamiętać: wszystkie te wartości muszą być identyczne na kliencie i na serwerze. Absolutnie identyczne. Jeśli chociaż jeden parametr się różni — handshake się nie powiedzie.

Kiedy AmneziaWG jest potrzebny, a kiedy wystarczy zwykły WireGuard

Jeśli WireGuard działa — nie ruszaj go. Zwykły WireGuard jest szybszy, łatwiejszy w konfiguracji i mniej obciąża zasoby. AmneziaWG jest potrzebny konkretnie wtedy, gdy dostawca tnie WireGuard przez DPI lub gdy jesteś w sieci z aktywną filtracją (niektóre sieci korporacyjne, placówki edukacyjne, hotele).

AmneziaWG jest również przydatny, jeśli chcesz połączyć się z mobilnego internetu tam, gdzie operator specjalnie blokuje ruch VPN.

Przygotowanie: gdzie zdobyć konfigurację AmneziaWG

Zanim przejdziesz do konfiguracji na urządzeniu, musisz zdobyć konfigurację. Dwa realne sposoby — postawić własny serwer lub wziąć gotową od dostawcy.

Opcja 1: własny serwer przez aplikację AmneziaVPN

Potrzebny będzie VPS z dowolnym Linuxem — Ubuntu 22.04 lub Debian 12 będą doskonałe. Aplikacja AmneziaVPN (amnezia.org) sama zainstaluje wszystko na serwerze przez SSH: wpisujesz IP, login i hasło od VPS, wybierasz protokół AmneziaWG — i po kilku minutach otrzymujesz gotowy kod QR lub plik .conf.

Minimalne wymagania dla VPS: 512 MB RAM, 1 rdzeń CPU. Odpowiednie będą serwery w Niemczech, Holandii, Finlandii — dobre połączenie pingu i niezawodności dla rosyjskich użytkowników. Koszt zaczyna się od 3–5 euro miesięcznie u Hetzner lub DigitalOcean.

Opcja 2: gotowa konfiguracja od dostawcy VPN

Jeśli nie masz własnego serwera i nie chcesz go stawiać — część dostawców wydaje gotowe konfiguracje AmneziaWG. Na przykład, NvoVPN wspiera ten protokół i generuje plik .conf bezpośrednio w panelu użytkownika. Pobierasz, importujesz — gotowe.

Różnica z własnym serwerem: konfiguracja dostawcy jest prostsza, ale nie kontrolujesz serwera. Własny serwer — więcej kłopotów przy konfiguracji, ale pełna kontrola nad parametrami obfuskacji i IP.

Co powinno być w poprawnym pliku .conf i kodzie QR

Poprawna konfiguracja AmneziaWG wygląda mniej więcej tak:

[Interface]<twój klucz prywatny><klucz publiczny serwera><IP serwera>:51820

Jeśli w pliku brakuje parametrów Jc, Jmin, Jmax, S1, S2, H1–H4 — to zwykły WireGuard, a nie AmneziaWG. Kod QR zawiera te same informacje w zakodowanej formie.

Konfiguracja AmneziaWG na Androidzie i iPhone/iOS

Mobilna konfiguracja — najprostsza. Cały proces zajmuje 3–5 minut.

Instalacja aplikacji AmneziaWG / AmneziaVPN

Na Androidzie — aplikacja nazywa się „AmneziaVPN” i jest dostępna w Google Play. Jest też bezpośredni link do pobrania APK z GitHub (repozytorium amnezia-vpn/amnezia-client) — to aktualne, jeśli Play Market jest niedostępny. Na iOS — „Amnezia VPN” w App Store, wyszukiwanie pod tym samym tytułem.

Upewnij się, że instalujesz wersję nie niższą niż 4.7 — starsze wersje mogą nie obsługiwać wszystkich parametrów obfuskacji, a handshake po prostu nie przejdzie.

Import konfiguracji przez plik lub kod QR

Po uruchomieniu aplikacji naciśnij „+” lub „Dodaj konfigurację”. Zobaczysz dwie opcje: zeskanować kod QR lub zaimportować plik.

Kod QR jest wygodniejszy, jeśli generowałeś konfigurację na komputerze — po prostu pokaż ekran z kodem kamerze telefonu. Plik .conf można przesłać przez Telegram, e-mail lub chmurę, a następnie otworzyć przez „Udostępnij” — aplikacja sama go przechwyci.

[Miejsce na zrzut ekranu: ekran importu konfiguracji w AmneziaVPN na Androidzie]

Włączenie tunelu i sprawdzenie połączenia

Naciśnij na dodany profil, a następnie dużą przycisk połączenia. Android zapyta o pozwolenie na utworzenie połączenia VPN — zgódź się. W statusie powinno pojawić się „Connected” i pokazywać czas połączenia.

Sprawdzamy: otwieramy przeglądarkę, idziemy na 2ip.ru lub ipleak.net. Adres IP powinien zmienić się na adres twojego serwera. Jeśli IP jest ten sam — tunel się nie podniósł.

[Miejsce na zrzut ekranu: aktywny tunel z zielonym statusem i statystyką ruchu]

Cechy iOS: profile i ograniczenia pracy w tle

Na iOS aplikacja ustawia systemowy profil VPN — to normalne, tak powinno być. Można to sprawdzić w „Ustawienia” → „VPN” → twój profil pojawi się tam.

Ważny szczegół: iOS agresywnie zabija procesy w tle w celu oszczędzania energii. Połączenie VPN może być przerywane po 10–15 minutach bezczynności. Można to naprawić, wyłączając „Tryb niskiego zużycia energii” lub włączając Always-On VPN — ale to ostatnie wymaga profilu MDM (funkcjonalność korporacyjna). Do użytku domowego po prostu trzymaj telefon na ładowarce przy długim korzystaniu z VPN.

Konfiguracja AmneziaWG na Windows i macOS

Na desktopie wszystko analogicznie, tylko trzeba uwzględnić prawa administratora przy pierwszym uruchomieniu.

Instalacja klienta desktopowego AmneziaVPN

Idziemy na amnezia.org lub na GitHub (amnezia-vpn/amnezia-client, sekcja Releases). Dla Windows pobieramy AmneziaVPN-installer.exe, dla macOS — AmneziaVPN.dmg. Aktualna wersja w momencie pisania — 4.8.x.

Podczas instalacji na Windows pojawi się prośba o prawa administratora — to potrzebne do zainstalowania adaptera sieciowego (WireGuard Tunnel Driver). Bez praw administratora tunel się nie podniesie. Na macOS poprosi o pozwolenie w „Ustawieniach systemowych” → „Prywatność i bezpieczeństwo”.

Import konfiguracji i wybór protokołu AmneziaWG

Otwieramy AmneziaVPN, naciskamy „Dodaj konfigurację” → „Importuj z pliku”. Wybieramy nasz plik .conf. Aplikacja sama określi typ protokołu na podstawie obecności parametrów obfuskacji — upewnij się, że w sekcji „Protokół” jest podany właśnie „AmneziaWG”, a nie „WireGuard”.

Jeśli masz kilka konfiguracji — upewnij się, że aktywowałeś właściwą. W liście mogą wyglądać podobnie.

Połączenie i sprawdzenie przez test DNS-leak

Naciskamy „Połącz”. Po 5–10 sekundach status powinien zmienić się na „Połączono”. Teraz ważne sprawdzenie — nie tylko IP, ale właśnie wycieki DNS.

Idziemy na dnsleaktest.com, naciskamy „Rozszerzony test”. Wszystkie serwery DNS w wynikach powinny należeć do twojego dostawcy VPN lub serwera (zwykle to 1.1.1.1 lub 8.8.8.8 przez VPN, a nie serwery twojego domowego dostawcy). Jeśli widzisz serwery DNS Rostelekomu, MTS lub Beeline — jest wyciek, który należy naprawić przez ustawienie DNS w konfiguracji.

Sprawdzanie działania i test prędkości

Połączyliśmy się — dobrze. Teraz upewnijmy się, że wszystko działa tak, jak powinno.

Jak upewnić się, że ruch rzeczywiście przechodzi przez VPN

Trzy kroki: 1) sprawdzenie IP na 2ip.ru — powinien być IP serwera, 2) sprawdzenie DNS na dnsleaktest.com — bez wycieków, 3) otwieramy YouTube, Instagram, Twitter/X — powinny otwierać się bez spowolnienia i błędów.

Jeśli coś z trzech nie działa — tunel nie został w pełni podniesiony lub jest problem z routowaniem. Sekcja z błędami poniżej pomoże rozwiązać problem.

Rzeczywisty spadek prędkości z powodu junk-pakietów

Szczera odpowiedź: tak, prędkość spada. Junk-pakiety to rzeczywisty dodatkowy ruch, który zjada przepustowość. Jak bardzo — zależy od parametru Jc i rozmiarów pakietów (Jmin/Jmax).

Metodologia, z której korzystam: uruchomić Speedtest (speedtest.net lub fast.com) trzy razy bez VPN, zapisać średnią. Potem trzy razy z AmneziaWG. Różnica pokaże rzeczywisty spadek właśnie na twoim kanale i twoim serwerze. Podawanie konkretnych cyfr bez tego kontekstu — bezsensowne, u każdego będą różne.

Do streamingu YouTube w 1080p zazwyczaj wystarcza nawet z obfuskacją. Dla 4K — zależy od serwera i odległości do niego.

Test omijania blokad: YouTube, Instagram, Twitter/X

Otwieramy kolejno youtube.com, instagram.com, twitter.com (X), facebook.com, tiktok.com. Wszystkie powinny otworzyć się bez przekierowań na stronę blokady Roskomnadzoru. Telegram przez AmneziaWG również powinien działać, chociaż ma swoje własne mechanizmy omijania.

Jeśli coś się nie otwiera — sprawdź AllowedIPs w konfiguracji. Powinno być 0.0.0.0/0, ::/0, a nie konkretne podsieci.

Typowe błędy i ich rozwiązania

To najważniejsza sekcja. Większość problemów przy konfiguracji AmneziaWG: konfiguracja i połączenie — to te same pułapki, na które wciąż się wpada.

Łączy się, ale nie ma internetu (DNS i AllowedIPs)

Objaw: tunel pokazuje „Connected”, statystyki pokazują wysłane i odebrane bajty, ale przeglądarka nie otwiera stron.

Przyczyna 1: w konfiguracji wpisany jest serwer DNS, do którego nie ma trasy. Sprawdź linię DNS= w sekcji [Interface]. Ustaw 1.1.1.1 lub 8.8.8.8.

Przyczyna 2: AllowedIPs nie obejmuje całego ruchu. Powinno być AllowedIPs = 0.0.0.0/0, ::/0. Jeśli są tam wpisane konkretne podsieci — ruch do innych adresów idzie bezpośrednio, omijając VPN.

Handshake nie przechodzi (niezgodność parametrów obfuskacji)

Objaw: w logach aplikacji nie ma linii „Handshake”; statystyki pokazują wysłane pakiety, ale odebrane — 0 lub bardzo mało.

Przyczyna: parametry Jc, Jmin, Jmax, S1, S2 i H1–H4 na kliencie i serwerze nie zgadzają się. Nawet jedna różnica — i handshake nie przejdzie. To nie błąd, tak to zaplanowano — obie strony muszą „rozmawiać” tym samym dialektem.

Rozwiązanie: wziąć konfigurację na nowo z serwera lub porównać każdy parametr ręcznie. Jeśli serwer AmneziaVPN — przeinstalować tunel przez aplikację, ona ponownie stworzy konfigurację z poprawnymi wartościami.

Jeszcze jedna przyczyna — wersje klienta i komponentu serwerowego są niekompatybilne. Jeśli na serwerze jest stara wersja Amnezia (przed 4.x), a klient jest nowy — mogą być problemy z obsługą niektórych parametrów. Aktualizuj oba komponenty.

Dostawca i tak blokuje — co zmieniać

Zdarza się i tak. DPI dostosowuje się, a to, co działało trzy miesiące temu, dzisiaj jest blokowane.

Pierwsze: zmień port. Zamiast standardowego 51820 spróbuj 443, 4500, 1194 lub dowolny losowy powyżej 10000. Edytuje się w linii Endpoint konfiguracji.

Drugie: zmień parametry junk-pakietów. Zwiększ Jc do 8–12, rozszerz zakres Jmin/Jmax. To zmienia sygnaturę ruchu.

Trzecie: jeśli blokują konkretny adres IP serwera, a nie sygnaturę — obfuskacja w ogóle nie pomoże. Potrzebny jest inny serwer z innym IP. To ważne ograniczenie, o którym często milczą: AmneziaWG maskuje protokół, ale nie czyni IP niewidocznym.

Czwarte: w niektórych sieciach korporacyjnych i uniwersyteckich zablokowane są wszystkie porty UDP. AmneziaWG działa przez UDP — i tunel w ogóle się nie podniesie, cokolwiek byś zmieniał. W takim przypadku potrzebny jest protokół TCP: OpenVPN w trybie TCP/443 lub Shadowsocks.

Konflikt z innym VPN lub zaporą ogniową

Objaw: AmneziaWG nie łączy się na komputerze, chociaż na telefonie przez tę samą konfigurację działa.

Sprawdź: czy inny klient VPN (Cisco AnyConnect, OpenVPN, standardowy WireGuard) jest wyłączony. Dwa VPN jednocześnie — pewny sposób na złamanie routingu. Sprawdź również zaporę Windows Defender — czasami blokuje adapter WireGuard po aktualizacjach Windows.

Podwójny NAT (router za routerem) również może przeszkadzać: pakiety gubią się na poziomie translacji adresów. Jeśli masz sprzęt dostawcy + domowy router — spróbuj połączyć się bezpośrednio przez router dostawcy.