AmneziaWG VPN

Schlüsselwörter

Selbstbereitstellung des AmneziaWG VPN-Servers — Vollständiger Leitfaden

AmneziaWG ist ein Protokoll, das entwickelt wurde, um ein spezifisches Problem zu lösen: Wie erreicht man WireGuard-Geschwindigkeiten, wenn die Netzwerke, mit denen Sie sich verbinden, aktiv versuchen, es zu blockieren? Es ist ein Fork von WireGuard, der vom Amnezia VPN-Team erstellt wurde, und es tut, was das Original nicht tut — es randomisiert die Transportschicht, sodass Deep Packet Inspection-Systeme es nicht identifizieren können. Die Verschlüsselung bleibt genau gleich. Nur das Erscheinungsbild der Pakete im Netzwerk ändert sich.

Die breite Landschaft der VPN-Obfuscation war über die Jahre ein Wettrüsten. Werkzeuge wie Shadowsocks, VLESS+Reality und OpenVPN mit obfs4 versuchen, den Verkehr auf verschiedene Weise zu verschleiern — einige als Proxys, einige als vollständige Tunnel, einige mit hohen Leistungskosten. AmneziaWG besetzt eine spezifische Nische: Es ist ein vollständiger VPN-Tunnel mit WireGuard-Leistungsniveau und integrierter DPI-Schutz, alles in einem Paket. Und da es Open Source ist, können Sie es auf Ihrem eigenen Server bereitstellen.

Aber hier ist das Problem, das dies notwendig macht. Sie richten WireGuard ein. Es funktioniert perfekt — schnell, sauber, zuverlässig. Dann eines schönen Tages hört es auf. Keine Fehlermeldung, kein Timeout, keine Verbindungsablehnung. Pakete verschwinden einfach. So sieht DPI-Blocking in der Praxis aus: Ihr Tunnel ist weiterhin betriebsbereit, Ihre Konfiguration ist weiterhin korrekt, und nichts passiert. Dies ist die Realität in Russland (wo WireGuard eine Erfolgsquote von etwa 12 % hat), Iran (98 % Paketverlust) und einer wachsenden Liste von Ländern, darunter China, Ägypten, VAE, Türkei, Weißrussland, Usbekistan, Kasachstan, Myanmar und Pakistan.

Traditionelle Alternativen lösen dieses Problem nicht vollständig. Shadowsocks ist ein Proxy, kein vollständiger VPN-Tunnel — Ihr DNS- und Nicht-TCP-Verkehr wird weiterhin auslaufen. OpenVPN mit obfs4 funktioniert, hat aber etwa 25 % Leistungsüberkopf. VLESS+Reality bietet starke Obfuscation, ist aber proxy-basiert und komplex einzurichten. AmneziaWG schließt die Lücke: Es ist ein vollständiger VPN-Tunnel mit WireGuard-Leistungsniveau und integriertem DPI-Schutz.

Dieser Leitfaden führt Sie durch die Bereitstellung eines voll funktionsfähigen AmneziaWG 2.0-Servers auf jedem KVM VPS in weniger als 15 Minuten mit einem einzigen Community-Installationsskript. Am Ende haben Sie einen funktionierenden VPN-Tunnel, mit dem Sie sich von jedem Gerät aus verbinden können. Die Schritte sind anbieterunabhängig — sie funktionieren auf jedem VPS mit SSH-Zugriff und Root-Rechten, egal ob von AlexHost, AvaHost oder einem anderen Anbieter. Dies ist für Benutzer mit einem mittleren technischen Kenntnisstand geschrieben, die mit SSH und grundlegenden Linux-Befehlen vertraut sind.

Eine Klarstellung, bevor wir beginnen: AmneziaWG ist ein Protokoll. AmneziaVPN ist eine Client-Anwendung, die sich damit verbindet. Sie sind verwandt, aber unterschiedlich — wie TLS für Ihren Browser. Sie benötigen eine Anwendung, um sich zu verbinden, aber das Protokoll ist das, was auf Ihrem Server läuft.

Aber bevor wir irgendetwas bereitstellen, müssen Sie verstehen, was AmneziaWG von WireGuard unterscheidet — und warum dieser Unterschied wichtig ist, wenn DPI Sie beobachtet.

Was ist AmneziaWG? (Mentales Modell)

WireGuard ist elegant in seinem Design. Es hat eine kleine Codebasis, verwendet moderne Kryptografie und läuft im Linux-Kernel für nahezu native Leistung. Aber diese Eleganz hat ein Sichtbarkeitsproblem: Jedes WireGuard-Paket trägt die gleiche feste Header-Struktur, die gleichen festen Paketgrößen und das gleiche Handshake-Muster. Für ein Deep Packet Inspection-System hat der WireGuard-Tunnel eine Signatur, die so klar ist wie ein Barcode. Sobald ein DPI-Gerät diese Signatur gelernt hat, kann es jedes Paket fallen lassen, ohne den Port zu blockieren oder die Verbindung zu schließen.

Denken Sie daran. WireGuard ist wie ein Kurier, der immer die gleiche Uniform trägt — schnell, zuverlässig und effizient. Aber jeder, der die Straße beobachtet, lernt, diese Uniform zu erkennen und kann den Kurier an jedem Kontrollpunkt stoppen. AmneziaWG ist derselbe Kurier, der dieselben Pakete trägt, aber er ändert seine Uniform an jedem Kontrollpunkt. Die gleiche Person, die gleiche Fracht, ein völlig anderes Erscheinungsbild.

Die Versionsgeschichte ist wichtig. AmneziaWG 1.x führte benutzerdefinierte Header ein, die sich von den festen Werten von WireGuard unterschieden — das half eine Zeit lang, aber die DPI-Systeme passten sich an. AmneziaWG 2.0, das Ende 2025 veröffentlicht wurde, randomisiert alles: Header ändern sich von Paket zu Paket, Padding variiert von Nachricht zu Nachricht, und Ersatzpakete ahmen andere Protokolle nach, bevor der eigentliche Handshake beginnt. Es gibt keine universelle Signatur zur Erkennung, da jeder AmneziaWG 2.0-Server sein eigenes einzigartiges Set von Parametern generiert. Jeder Server spricht seinen eigenen Dialekt.

Wenn alle Obfuscation-Parameter auf null gesetzt sind, verhält sich AmneziaWG identisch zu WireGuard — es ist vollständig abwärtskompatibel auf Protokollebene. Aber mit aktiven Parametern (was die Standardeinstellung ist) wird es zu dem, was WireGuard nicht sein kann: einem schnellen VPN-Tunnel, den DPI-Systeme schwer identifizieren können.

Wie genau verschlüsselt AmneziaWG also seinen Verkehr? Lassen Sie uns die vier Ebenen der Obfuscation betrachten, die DPI blind machen — und warum sie fast keine Geschwindigkeitskosten hinzufügen.

Wie AmneziaWG sich vor DPI versteckt (ohne Geschwindigkeitsverlust)

AmneziaWG 2.0 verwendet vier Ebenen der Obfuscation, die zusammenarbeiten. Jede zielt auf eine andere Art ab, wie DPI-Systeme VPN-Verkehr identifizieren. Zusammen machen sie den Verkehr jedes Servers einzigartig.

Dynamische Header (H1–H4)

WireGuard verwendet feste 32-Bit-Nachrichtentyp-Identifikatoren:

• 1 — für Initiierung
• 2 — für Antwort
• 3 — für Antwort mit Cookie
• 4 — für Daten

Ein DPI-Gerät, das den Verkehr scannt, sucht einfach nach diesen Werten. AmneziaWG 2.0 ersetzt jeden festen Wert durch eine zufällige Zahl, die aus einem bestimmten Bereich gewählt wird. Der Initiierungsheader (H1) kann jeder Wert von 234567 bis 345678 sein. Der Antwortheader (H2) kann von 3456789 bis 4567890 reichen. Diese Bereiche überschneiden sich niemals — das Protokoll muss immer noch intern zwischen Pakettypen unterscheiden — aber für einen Außenstehenden gibt es keinen einzelnen Headerwert, an den man sich klammern kann. Jedes Paket sieht anders aus als das vorherige.

Zufälliges Padding (S1–S4)

Das Initiierungspaket von WireGuard ist immer genau 148 Bytes. Seine Antwort ist immer genau 92 Bytes. Diese festen Größen sind ein weiteres Fingerabdruck. AmneziaWG fügt jedem Pakettyp zufälliges Padding hinzu: Initiierung wird 148+S1 Bytes, Antwort wird 92+S2 Bytes, Antwort mit Cookie wird 64+S3 Bytes, und jedes Datenpaket erhält S4 Bytes Padding. S3 und S4 sind neu in Version 2.0 — und S4 ist die bedeutendste Ergänzung, da sie jedes einzelne Datenpaket betrifft und die sitzungsbezogene Verkehrsanalyseschwierigkeiten erheblich erschwert.

Es gibt eine kritische Einschränkung: S1+56 darf nicht gleich S2 sein. Da der ursprüngliche Größenunterschied zwischen Initiierung und Antwort 56 Bytes beträgt (148−92), wenn die Padding-Werte zufällig genau diesen Unterschied ausgleichen, werden zwei gepolsterte Pakete die gleiche Größe haben — und damit den Fingerabdruck wiederherstellen, den AmneziaWG zu eliminieren versucht. Der Parameter-Generator des Installers stellt automatisch sicher, dass diese Einschränkung eingehalten wird.

Benutzerdefinierte Protokollsignatur (I1–I5)

Bevor der eigentliche Handshake beginnt, sendet der AmneziaWG-Client bis zu fünf Ersatzpakete, die andere Protokolle nachahmen — QUIC, DNS, SIP oder benutzerdefinierte Byte-Muster. Der Server ignoriert diese Pakete vollständig. Er wartet einfach auf den echten Handshake.

• Einfaches Setup: Sendet 128 zufällige Bytes <r 128>.
• Komplexes Setup: Sendet Bytes, die wie die Initiierung einer QUIC-Verbindung aussehen (<b 0xc000000001><r 64><t>), mit einem Unix-Zeitstempel.

Für ein DPI-System, das den Sitzungsstart beobachtet, sehen die ersten Pakete wie regulärer Webverkehr aus.

Müllpakete (Jc, Jmin, Jmax)

Nach den Ersatzpaketen sendet der Client eine anpassbare Anzahl von Müllpaketen — reines Rauschen mit zufälligen Größen von Jmin bis Jmax. Diese Pakete verwischen das Timing- und Größenprofil des Sitzungsstarts, was es DPI-Systemen erschwert, zu identifizieren, wo der echte Handshake beginnt.

Geschwindigkeitsfrage

Es gibt eine Zahl, die im Internet kursiert: AmneziaWG hat 65 % Overhead. Diese Zahl ist real, bezieht sich jedoch auf die Benutzerspace-Go-Implementierung — nicht das Kernel-Modul. Das in diesem Leitfaden verwendete Community-Installationsskript erstellt ein DKMS-Kernel-Modul, und das Kernel-Modul fügt insgesamt weniger als 12 % Overhead hinzu — in realen Tests näher bei 3 %. In einem unzensierten Netzwerk würden Sie etwa 95 Mbps über WireGuard und 92 Mbps über AmneziaWG 2.0 sehen. In einem zensierten Netzwerk beträgt der Vergleich 92 Mbps gegenüber null.

Die folgende Tabelle fasst die Parameter zusammen, die der Installer automatisch generiert:

Sie müssen keinen dieser Parameter manuell festlegen. Der Installer generiert kryptografisch zufällige Werte, die die Einschränkungen jedes Mal erfüllen.

Jetzt, da Sie wissen, wie Obfuscation funktioniert, lassen Sie uns sehen, wie AmneziaWG im Vergleich zu Alternativen abschneidet, die Sie in Betracht ziehen könnten.

AmneziaWG vs Alternativen — Schneller Entscheidungsleitfaden

Die Entscheidungsregeln sind einfach:

• Keine DPI in Ihrem Land? Verwenden Sie reguläres WireGuard. Es ist einfacher und hat ein breiteres Ökosystem.
• Maximalen DPI-Schutz benötigen und Proxys nicht stören? VLESS+Reality ist die stärkste Option für Obfuscation, aber es ist kein vollständiger Tunnel.
• Sowohl Geschwindigkeit als auch einen vollständigen Tunnel mit Obfuscation wollen? AmneziaWG 2.0 ist die einzige Option, die WireGuard-Leistungsniveau mit echtem DPI-Schutz in einem vollständigen VPN-Tunnel bietet.
• Bereits OpenVPN+obfs4 verwenden und es funktioniert noch? Kein dringender Bedarf zu wechseln, aber AmneziaWG wird merklich schneller sein.

Dieser Artikel konzentriert sich auf AmneziaWG, da es das einzige Protokoll ist, das Ihnen einen vollständigen Tunnel, Kernel-Leistungsniveau und integrierte Obfuscation bietet — alles mit einem einzigen Skript eingerichtet.

Wenn AmneziaWG die richtige Wahl für Ihre Situation ist, hier ist, was Sie vor dem Start der Bereitstellung benötigen.

Was Sie brauchen, bevor Sie beginnen

Bevor Sie den Installer ausführen, stellen Sie sicher, dass Ihre Umgebung diese Anforderungen erfüllt:

⚠️ Warnung: LXC-Container werden nicht unterstützt. Wenn Ihr VPS LXC-Virtualisierung verwendet, schlägt der DKMS-Kernelmodul-Bau fehl. Sie müssen KVM oder Bare-Metal verwenden. Überprüfen Sie bei Ihrem Anbieter, wenn Sie sich nicht sicher sind.

⚠️ Warnung: Wenn Ihr SSH auf einem nicht standardmäßigen Port (alles außer 22) läuft, müssen Sie ihn vor dem Ausführen des Installers in UFW öffnen:

sudo ufw allow YOUR_PORT/tcp

Ersetzen Sie YOUR_PORT durch Ihren tatsächlichen SSH-Port. Der Installer enthält UFW mit einer Standardrichtlinie — wenn Ihr SSH-Port nicht erlaubt ist, werden Sie sofort blockiert.

💡 Hinweis: Warten Sie 5–10 Minuten, nachdem Sie Ihren VPS erstellt haben, bevor Sie den Installer ausführen. Cloud-init und Hintergrundinitialisierungsprozesse können mit den Aufrufen apt-get, die der Installer macht, in Konflikt stehen.

Mit Ihrem VPS bereit und den Voraussetzungen bestätigt, lassen Sie uns AmneziaWG 2.0 mit dem Community-Installationsskript bereitstellen — die schnellste und transparenteste Methode.

Methode 1 — Bereitstellung mit dem CLI-Installer (Empfohlen)

Dies ist die primäre Installationsmethode. Sie laden ein versionsgebundenes Installationsskript herunter, führen es als Root aus, durchlaufen acht automatisierte Schritte (mit zwei erwarteten Neustarts) und enden mit einem vollständig konfigurierten AmneziaWG 2.0-Server. Der Installer kümmert sich um alles: Paketinstallation, Kernelmodulkompilierung, Firewall-Konfiguration, Parametererzeugung und Dienststart.

6.1 — Verbinden Sie sich mit Ihrem VPS über SSH

Öffnen Sie Ihr Terminal und verbinden Sie sich mit Ihrem Server:

Ersetzen Sie <SERVER_IP> durch die tatsächliche öffentliche IP-Adresse Ihres VPS. Wenn Ihr Anbieter Ihnen einen Nicht-Root-Benutzer gegeben hat, melden Sie sich mit diesem Benutzer an und eskalieren Sie dann:

Sie sollten das Willkommensbanner von Ubuntu 24.04 gefolgt von einer Root-Eingabeaufforderung sehen:

6.2 — Laden Sie den Installer herunter und führen Sie ihn aus

Laden Sie das Installationsskript herunter, machen Sie es ausführbar und führen Sie es aus:

Die URL ist versionsgebunden auf v5.8.1 — die neueste Veröffentlichung vom April 2026. Dies ist die Sicherheit der Lieferkette: Sie stellt sicher, dass das heruntergeladene Skript mit der getesteten Version übereinstimmt, selbst wenn das Repository seitdem aktualisiert wurde.

Der Installer beginnt mit der Überprüfung Ihres Systems:

Wenn eine Überprüfung fehlschlägt, stoppt der Installer und sagt Ihnen, warum. Beheben Sie das Problem und führen Sie den Befehl erneut aus.

6.3 — Durchlaufen Sie die Installer-Aufforderungen

Der Installer ist eine achtstufige Zustandsmaschine mit Unterstützung für das Fortsetzen nach einem Neustart. Er speichert seinen Fortschritt in /root/awg/setup_state, sodass, wenn der Server neu startet, Sie einfach denselben Befehl erneut ausführen und er dort weitermacht, wo er aufgehört hat.

Schritt 0: Initialisierung — Der Installer überprüft Ihr OS, den Virtualisierungstyp, RAM und Speicherplatz. Er erstellt das /root/awg/ Arbeitsverzeichnis und richtet eine Sperrdatei ein, um parallele Ausführungen zu verhindern.

Schritt 1: Systemaktualisierung & Paketinstallation — Der Installer führt

aus und installiert dann AmneziaWG, DKMS, Linux-Header, UFW, Fail2Ban, QR-Code-Generierungstools und andere Abhängigkeiten.

📝 Hinweis: Der Installer entfernt auch mehrere Hintergrunddienste, die Ressourcen auf minimalen VPS-Instanzen verbrauchen: snapd, modemmanager, networkd-dispatcher, unattended-upgrades, packagekit, lxd-agent-loader und udisks2. Dies ist absichtlich und sicher.

Wenn Schritt 1 abgeschlossen ist, fordert der Installer einen Neustart an:

Geben Sie y ein und drücken Sie die Eingabetaste. Nachdem der Server wieder hochgefahren ist, melden Sie sich erneut über SSH an und führen Sie denselben Befehl erneut aus:

Das Skript liest seinen gespeicherten Status und fährt mit Schritt 2 fort, ohne erneut nach Aufforderungen zu fragen.

Schritt 2: DKMS-Kernelmodul-Bau — Der Installer kompiliert das AmneziaWG-Kernelmodul gegen Ihren aktuellen Kernel und registriert es bei DKMS für den automatischen Neuaufbau bei zukünftigen Kernel-Updates:

Ein zweiter Neustart wird angefordert. Geben Sie y ein und drücken Sie die Eingabetaste.

📝 Hinweis: Zwei Neustarts während der Installation sind normal und erwartet. Der erste lädt neue Kernel-Header, der zweite aktiviert das neu gebaute Kernel-Modul. Das Skript speichert den Status zwischen den Neustarts — nichts geht verloren.

Nach dem zweiten Neustart melden Sie sich erneut an und führen Sie den Installer ein weiteres Mal aus:

Schritt 3: Überprüfung des Moduls nach dem Neustart — Das Skript überprüft, ob das Kernel-Modul geladen ist (lsmod | grep amneziawg). Wenn der DKMS-Bau aus irgendeinem Grund fehlgeschlagen ist, fällt es auf die Benutzerspace-Go-Implementierung mit einer Warnung über den höheren Overhead zurück.

Schritt 4: Firewall-Einrichtung — UFW wird mit einer Standardverweigerungspolitik aktiviert. Der Installer fügt eine SSH-Ratenbegrenzungsregel für Port 22 hinzu, öffnet Ihren VPN-Port für UDP-Verkehr und konfiguriert Routing-Regeln für die awg0-Schnittstelle.

Schritt 5: Herunterladen von Verwaltungs-Skripten — Die Client-Verwaltungsskripte (manage_amneziawg_en.sh und awg_common_en.sh) werden in /root/awg/ mit nur Eigentümerberechtigungen (700) heruntergeladen. Diese sind ebenfalls versionsgebunden auf v5.8.1.

Schritt 6: Interaktive Konfiguration — Der Installer fragt jetzt vier Fragen:

• UDP-Port (Standard: 39743, Bereich 1024–65535). Der Standard ist ein zufälliger hoher Port — belassen Sie ihn, es sei denn, Ihr ISP ist bekannt dafür, hohe UDP-Ports zu blockieren.
• Tunnel-Subnetz (Standard: 10.9.9.1/24). Dies ist Ihr internes VPN-Netzwerk. Der Server erhält .1, Clients erhalten .2 bis .254, was bis zu 253 Clients unterstützt.
• IPv6 deaktivieren (Standard: Y). Empfohlen — die Deaktivierung von IPv6 verhindert, dass Verkehr außerhalb des Tunnels auf IPv6-Routen ausläuft.
• Routing-Modus: Wählen Sie 1 für gesamten Verkehr, 2 für Amnezia-Liste + DNS (empfohlen) oder 3 für benutzerdefinierte Netzwerke. Modus 2 leitet nur blockierte öffentliche IP-Bereiche und DNS durch das VPN und hält Ihren lokalen Netzwerkzugang schnell und direkt.

💡 Hinweis: Die MTU ist standardmäßig auf 1280 eingestellt. Dies ist die minimale IPv6-MTU und ist entscheidend für mobile und zellulare Netzwerke. iOS ist streng bei der Pfad-MTU-Entdeckung, und zellulare Netzwerke haben oft eine effektive MTU unter dem Standard von WireGuard von 1420. Lassen Sie dies auf 1280.

Schritt 7: Dienststart — Der Installer generiert die Serverkonfiguration in /etc/amnezia/amneziawg/awg0.conf, erstellt zwei Standard-Client-Konfigurationen (my_phone und my_laptop) in /root/awg/, generiert QR-Codes und startet den awg-quick@awg0 systemd-Dienst.

Schritt 8: Abschluss — Sie sehen die Erfolgsmeldung:

Der Installer generiert automatisch alle AmneziaWG 2.0 Obfuscation-Parameter. Sie müssen sie nicht anfassen. Jeder Server erhält ein einzigartiges Set von Werten — es gibt keinen universellen Fingerabdruck für DPI-Systeme zur Erkennung.

6.4 — Verwaltung von Clients nach der Installation

Das Verwaltungsskript in /root/awg/manage_amneziawg.sh kümmert sich um alle Client-Lebenszyklusoperationen. Hier sind die wesentlichen Befehle:

Fügen Sie einen neuen Client hinzu:

Dies generiert eine .conf-Datei, einen QR-Code und eine .vpnuri-Datei für den neuen Client. Die Serverkonfiguration wird hot-reloaded — kein Neustart des Dienstes erforderlich.

Fügen Sie einen temporären, automatisch ablaufenden Client hinzu:

Ein Cron-Job prüft alle fünf Minuten und entfernt den Client automatisch, wenn er abläuft. Die Konfiguration, Schlüssel und Servereintrag werden alle bereinigt.

Liste aller Clients:

Clients:
  my_phone     (10.9.9.2/32)
  my_laptop    (10.9.9.3/32)
  my_desktop   (10.9.9.4/32)
  guest        (10.9.9.5/32) [expires in 6d 23h]

Fügen Sie das -v-Flag für zusätzliche Details einschließlich öffentlicher Schlüssel und Erstellungsdaten hinzu.

Entfernen Sie einen Client:

Überprüfen Sie den vollständigen Serverstatus:

Dies zeigt den Dienststatus, offenen Port, alle AWG 2.0-Parameter, Kernelmodulstatus, UFW-Status und Fail2Ban-Status in einer Ansicht.

Sehen Sie sich die Verkehrsstatistiken pro Client an:

Client          Received        Sent            Latest handshake
───────────────────────────────────────────────────────────────────
my_phone        1.24 GiB        356.7 MiB       2 minutes ago
my_laptop       892.3 MiB       128.4 MiB       15 seconds ago
my_desktop      0 B             0 B             (none)

Erstellen Sie ein Backup:

Dies erstellt ein komprimiertes Archiv in /root/awg/backups/, das Ihre Serverkonfiguration, Clientkonfigurationen, Schlüssel und Ablaufdaten enthält.

📝 Hinweis: Die add– und remove-Befehle verwenden awg syncconf für hot-reload. Die Serverkonfiguration wird sofort aktualisiert, ohne den Dienst neu zu starten. Verwenden Sie restart nur, wenn Sie serverseitige Parameter wie den Port oder die MTU ändern.

6.5 — Überprüfen Sie, ob der Server läuft

Durchlaufen Sie diese Überprüfungen, um zu bestätigen, dass alles betriebsbereit ist:

Überprüfen Sie den systemd-Dienst:

● awg-quick@awg0.service - AmneziaWG Quick via awg-quick(8) for awg0
     Loaded: loaded (/lib/systemd/system/awg-quick@.service; enabled)
     Active: active (exited) since Thu 2026-04-09 14:32:01 UTC

Überprüfen Sie den AmneziaWG-Status und die Parameter:

Überprüfen Sie die Firewall:

Status: active
Default: deny (incoming), allow (outgoing)
22/tcp                     LIMIT IN    Anywhere
39743/udp                  ALLOW IN    Anywhere

Überprüfen Sie Fail2Ban:

Status for the jail: sshd
|- Filter
|  |- Currently failed: 0
|  `- Total failed: 0
`- Actions
   |- Currently banned: 0
   `- Banned IP list:

Überprüfen Sie das DKMS-Kernelmodul:

amneziawg/2.0, 6.8.0-xx-generic, x86_64: installed

Wenn alle fünf Überprüfungen bestehen, läuft Ihr AmneziaWG 2.0-Server und ist bereit, Verbindungen anzunehmen.

Ihr Server läuft und wurde überprüft. Wenn Sie einen GUI-gesteuerten Ansatz anstelle des Terminals bevorzugen, finden Sie hier die alternative Methode mit der AmneziaVPN-App.

Methode 2 — Bereitstellung mit der AmneziaVPN-App (Alternative)

Die AmneziaVPN-Desktopanwendung kann AmneziaWG automatisch auf Ihrem Server über SSH installieren. Sie verwendet dasselbe zugrunde liegende Installationsskript wie die CLI-Methode, wickelt jedoch alles in eine geführte Schnittstelle. Dies ist ideal, wenn Sie eine unkomplizierte Installationserfahrung wünschen.

1. Laden Sie AmneziaVPN herunter von amnezia.org/en/downloads. Es ist für Windows, macOS, Linux, Android und iOS verfügbar.
2. Öffnen Sie die App und klicken Sie auf das ➕ (Plus-Symbol) oder Loslegen.
3. Wählen Sie “Selbstgehostetes VPN” aus den angebotenen Optionen.
4. Geben Sie Ihre Serveranmeldeinformationen ein:
   • Server-IP-Adresse (und Port, wenn SSH nicht auf 22 ist, z. B. 203.0.113.10:2221)
   • SSH-Benutzername (z. B. root)
   • Passwort oder SSH-Privatschlüssel
5. Wählen Sie den Installationstyp:
   • Automatisch — installiert nur AmneziaWG (empfohlen)
   • Manuell — wählen Sie ein bestimmtes Protokoll aus der Liste
6. Klicken Sie auf “Installieren” — die App verbindet sich über SSH mit Ihrem Server und führt die Installation automatisch aus. Sie sehen einen Fortschrittsindikator.
7. Nach der Installation erstellt die App ein einsatzbereites VPN-Verbindungsprofil.

Hinweise zur Nachinstallation:

• Die App installiert AmneziaWG standardmäßig mit einem zufälligen Port. Einige ISPs blockieren UDP auf hohen Ports. Die App empfiehlt, auf einen Port unter 9999 (z. B. 585 oder 1234) zu wechseln. Um dies zu ändern: Klicken Sie auf das Zahnradsymbol neben der Verbindung → Registerkarte Verwaltung → ändern Sie die Portnummer.
• Wenn Ihr Server bereits Amnezia-Software installiert hat, klicken Sie während der Erstellung der Verbindung auf “Einrichtung überspringen” und verwenden Sie dann “Überprüfen Sie den Server auf zuvor installierte Amnezia-Dienste” in der Registerkarte Verwaltung.

So vergleichen sich die beiden Methoden:

manage_amneziawg.sh

Egal, ob Sie die CLI oder die App verwendet haben, Ihr Server ist bereit. Lassen Sie uns jetzt Ihr erstes Gerät verbinden.

Verbindung Ihres ersten Clients

Nach der Installation haben Sie drei Möglichkeiten, die Client-Konfiguration in die Amnezia VPN-App zu importieren. Wählen Sie diejenige, die zu Ihrem Gerät passt.

Methode A: QR-Code (Mobil)

Der Installer generierte einen QR-Code in /root/awg/my_phone.png. Laden Sie ihn auf Ihren Computer herunter:

Öffnen Sie die PNG-Datei auf Ihrem Bildschirm. Öffnen Sie auf Ihrem Telefon die Amnezia VPN-App, tippen Sie auf “VPN hinzufügen” → “QR-Code scannen” und richten Sie Ihre Kamera auf den QR-Code auf Ihrem Bildschirm. Die Verbindung wird automatisch importiert.

Methode B: vpn:// URI (Amnezia-Client)

Zeigen Sie die komprimierte URI auf Ihrem Server an:

Kopieren Sie die gesamte vpn://…-Zeichenfolge und senden Sie sie sich selbst — über Telegram, E-Mail oder eine Notiz-App. Öffnen Sie auf Ihrem Telefon die Amnezia VPN-App, tippen Sie auf “VPN hinzufügen” → “Aus Zwischenablage einfügen”. Die Konfiguration wird in einem Schritt importiert.

Die URI ist eine zlib-komprimierte, Base64-codierte Version der vollständigen Konfigurationsdatei. Sie ist kompakt und für einen schnellen Austausch konzipiert.

Methode C: .conf-Datei (Desktop/Windows)

Laden Sie die Konfigurationsdatei herunter:

Öffnen Sie den AmneziaWG für Windows-Client oder die AmneziaVPN-Desktop-App, klicken Sie auf “Tunnel(s) aus Datei importieren” und wählen Sie die .conf-Datei aus.

Überprüfen Sie die Verbindung

Sobald Sie verbunden sind, überprüfen Sie, ob der Tunnel Ihren Verkehr über den Server leitet:

curl ifconfig.me

Die Ausgabe sollte die öffentliche IP-Adresse Ihres Servers anzeigen, nicht Ihre lokale: 203.0.113.1

Für mehr Details, einschließlich des geografischen Standorts des Servers:

{
  "ip": "203.0.113.1",
  "city": "Amsterdam",
  "region": "North Holland",
  "country": "NL",
  ...
}

⚠️ Warnung: Der Standard-WireGuard-Client funktioniert nicht mit AmneziaWG 2.0-Konfigurationen. Sie müssen die Amnezia VPN-App (Version 4.8.12.7 oder später) oder einen nativen AmneziaWG-Client (Version 2.0.0 oder später auf Windows/Android/iOS) verwenden.

⚠️ Warnung: Wenn Sie “Ungültiger Schlüssel: s3” auf Windows sehen, ist Ihr AmneziaWG-Windows-Client veraltet (Version unter 2.0.0). Aktualisieren Sie auf Version 2.0.0+ oder wechseln Sie zur Amnezia VPN-App.

💡 Hinweis: Wenn Sie verbunden sind, aber kein Internet haben, überprüfen Sie, ob Ihre Client-Konfiguration MTU = 1280 im Abschnitt [Interface] hat. Dies ist die häufigste Ursache für “Handshake erfolgreich, aber kein Verkehr” in mobilen Netzwerken.

Ihr VPN-Tunnel funktioniert. Hier ist, wo Sie von hier aus hingehen können, um das Beste aus Ihrer Einrichtung herauszuholen.

Was als Nächstes — Erweiterung Ihrer Einrichtung

Sie haben jetzt einen DPI-resistenten VPN-Tunnel, der auf Ihrem eigenen Server läuft, unter Ihrer Kontrolle, mit WireGuard-Gradgeschwindigkeit. Der stille Paketverlust, der Ihre WireGuard-Verbindung getötet hat, ist kein Problem mehr — Ihr Verkehr sieht aus wie nichts, was ein DPI-System zuverlässig identifizieren kann.

Hier sind die nützlichsten Dinge, die Sie als Nächstes tun können:

1. Fügen Sie Clients für Ihre Familie oder Ihr Team hinzu — verwenden Sie das Verwaltungsskript, um Konfigurationen für jedes Gerät zu generieren, das Zugriff benötigt.
2. Konfigurieren Sie Split Tunneling, wenn Sie kein vollständiges Tunnel-Routing benötigen — es hält den lokalen Verkehr schnell und reduziert die Bandbreite auf Ihrem VPS.
3. Sichern Sie Ihre Konfigurationen — führen Sie den Backup-Befehl aus und speichern Sie das Archiv an einem sicheren Ort. Wenn Ihr Server jemals neu aufgebaut werden muss, ist dies das, was Sie davor bewahrt, von vorne zu beginnen.

Konfigurieren Sie Split Tunneling, wenn Sie nicht möchten, dass der gesamte Verkehr über das VPN geleitet wird. Dies ist besonders nützlich in Ländern mit teilweiser Zensur — leiten Sie nur blockierte Seiten durch den Tunnel und halten Sie den lokalen Verkehr direkt:

Ändern Sie Ihren Client-DNS, wenn Sie andere Resolver bevorzugen:

Passen Sie PersistentKeepalive an, wenn Sie sich in einer aggressiven NAT-Umgebung befinden. Der Standardwert von 33 Sekunden hält die UDP-Sitzung durch NAT aufrecht — das Senken auf 25 kann in Netzwerken helfen, die inaktive UDP-Sitzungen schnell abwerfen:

Installieren Sie es auf Ihrem Router für eine Netzabdeckung. AmneziaWG wird auf Keenetic-Routern über AWG Manager und auf ASUS-Routern, die Asuswrt-Merlin ausführen, über AmneziaWG für Merlin unterstützt.

Sichern Sie jetzt Ihre Konfiguration, bevor sich etwas ändert:

Wenn Sie jemals auf einen neuen Server migrieren müssen, führen Sie eine frische Installation durch und dann:

Der restore-Befehl stellt Ihre Konfigurationen und Schlüssel wieder her, und regen aktualisiert die Client-Konfigurationen mit der neuen Server-IP.

Für tiefere Dokumentation finden Sie die offiziellen Amnezia-Dokumente unter docs.amnezia.org und die Community ist aktiv auf Telegram.

Wenn Sie nach einem zuverlässigen VPS suchen, um Ihren AmneziaWG-Server zu hosten — oder zusätzliche Endpunkte für Teammitglieder skalieren müssen — AvaHost bietet KVM-Virtualisierung mit vollem Root-Zugriff, NVMe-Speicher und Ubuntu 24.04-Unterstützung, die diese Einrichtung erfordert. Ihre Infrastruktur ist speziell für die Art von selbstgehosteten Bereitstellungen ausgelegt, die dieser Leitfaden behandelt.