AmneziaWG VPN

Mots-clés

Serveur VPN AmneziaWG auto-déployant — Guide complet

AmneziaWG est un protocole conçu pour résoudre un problème spécifique : comment atteindre des vitesses WireGuard lorsque les réseaux auxquels vous vous connectez essaient activement de le bloquer ? C’est un fork de WireGuard créé par l’équipe VPN Amnezia, et il fait ce que l’original ne fait pas — il randomise la couche de transport afin que les systèmes d’inspection approfondie des paquets ne puissent pas l’identifier. Le chiffrement reste exactement le même. Seule l’apparence des paquets dans le réseau change.

Le large paysage de l’obfuscation VPN a été une course aux armements au fil des ans. Des outils comme Shadowsocks, VLESS+Reality et OpenVPN avec obfs4 tentent de déguiser le trafic de diverses manières — certains comme des proxies, certains comme des tunnels complets, certains avec des coûts de performance élevés. AmneziaWG occupe une niche spécifique : c’est un tunnel VPN complet avec des performances de niveau WireGuard et une protection DPI intégrée, le tout dans un seul package. Et puisque c’est open-source, vous pouvez le déployer sur votre propre serveur.

Mais voici le problème qui rend cela nécessaire. Vous configurez WireGuard. Cela fonctionne parfaitement — rapide, propre, fiable. Puis un beau jour, cela s’arrête. Pas de message d’erreur, pas de délai d’attente, pas de refus de connexion. Les paquets disparaissent simplement. C’est ce à quoi ressemble le blocage DPI en pratique : votre tunnel est toujours opérationnel, votre configuration est toujours correcte, et rien ne passe. C’est la réalité en Russie (où WireGuard a un taux de réussite d’environ 12 %), en Iran (98 % de perte de paquets), et dans une liste croissante de pays, y compris la Chine, l’Égypte, les Émirats, la Turquie, la Biélorussie, l’Ouzbékistan, le Kazakhstan, le Myanmar et le Pakistan.

Les alternatives traditionnelles ne résolvent pas complètement ce problème. Shadowsocks est un proxy, pas un tunnel VPN complet — votre DNS et le trafic non-TCP fuiront toujours. OpenVPN avec obfs4 fonctionne mais a environ 25 % de surcharge de performance. VLESS+Reality offre une forte obfuscation mais est basé sur un proxy et complexe à configurer. AmneziaWG comble le vide : c’est un tunnel VPN complet avec des performances de niveau WireGuard et une protection DPI intégrée.

Ce guide vous guidera à travers le déploiement d’un serveur AmneziaWG 2.0 pleinement fonctionnel sur n’importe quel VPS KVM en moins de 15 minutes en utilisant un seul script d’installation communautaire. À la fin, vous aurez un tunnel VPN fonctionnel auquel vous pourrez vous connecter depuis n’importe quel appareil. Les étapes sont indépendantes du fournisseur — elles fonctionnent sur n’importe quel VPS avec un accès SSH et des privilèges root, que ce soit chez AlexHost, AvaHost ou un autre. Cela est écrit pour des utilisateurs ayant un niveau de compétence technique intermédiaire qui sont à l’aise avec SSH et les commandes Linux de base.

Une clarification avant de commencer : AmneziaWG est un protocole. AmneziaVPN est une application cliente qui s’y connecte. Ils sont liés mais distincts — comme TLS pour votre navigateur. Vous aurez besoin d’une application pour vous connecter, mais le protocole est ce qui s’exécute sur votre serveur.

Mais avant de déployer quoi que ce soit, vous devez comprendre ce qui rend AmneziaWG différent de WireGuard — et pourquoi cette différence est importante lorsque le DPI vous surveille.

Qu’est-ce qu’AmneziaWG ? (Modèle mental)

WireGuard est élégant dans sa conception. Il a une petite base de code, utilise une cryptographie moderne et s’exécute dans le noyau Linux pour des performances presque natives. Mais cette élégance a un problème de visibilité : chaque paquet WireGuard porte la même structure d’en-tête fixe, les mêmes tailles de paquets fixes et le même motif de poignée de main. Pour un système d’inspection approfondie des paquets, le tunnel WireGuard a une signature aussi claire qu’un code-barres. Une fois qu’un dispositif DPI apprend cette signature, il peut supprimer chaque paquet sans bloquer le port ou fermer la connexion.

Pensez-y de cette façon. WireGuard est comme un coursier qui porte toujours le même uniforme — rapide, fiable et efficace. Mais quiconque surveille la route apprend à reconnaître cet uniforme et peut arrêter le coursier à n’importe quel point de contrôle. AmneziaWG est le même coursier portant les mêmes colis, mais il change son uniforme à chaque point de contrôle. La même personne, la même cargaison, une apparence complètement différente.

L’historique des versions est important. AmneziaWG 1.x a introduit des en-têtes personnalisés qui différaient des valeurs fixes de WireGuard — cela a aidé pendant un certain temps, mais les systèmes DPI se sont adaptés. AmneziaWG 2.0, sorti fin 2025, randomise tout : les en-têtes changent d’un paquet à l’autre, le remplissage varie d’un message à l’autre, et les paquets de substitution imitent d’autres protocoles avant que la véritable poignée de main ne commence. Il n’y a pas de signature universelle pour la détection car chaque serveur AmneziaWG 2.0 génère son propre ensemble unique de paramètres. Chaque serveur parle son propre dialecte.

Lorsque tous les paramètres d’obfuscation sont réglés à zéro, AmneziaWG se comporte de manière identique à WireGuard — il est entièrement compatible en arrière-plan au niveau du protocole. Mais avec des paramètres actifs (ce qui est le paramètre par défaut), il devient ce que WireGuard ne peut pas être : un tunnel VPN rapide que les systèmes DPI ont du mal à identifier.

Alors, comment AmneziaWG chiffre-t-il son trafic ? Examinons les quatre niveaux d’obfuscation qui rendent le DPI aveugle — et pourquoi ils n’ajoutent presque aucun coût de vitesse.

Comment AmneziaWG se cache du DPI (sans perte de vitesse)

AmneziaWG 2.0 utilise quatre niveaux d’obfuscation qui travaillent ensemble. Chacun cible une manière différente dont les systèmes DPI identifient le trafic VPN. Ensemble, ils rendent le trafic de chaque serveur unique.

En-têtes dynamiques (H1–H4)

WireGuard utilise des identifiants de type de message fixes de 32 bits :

• 1 — pour l’initiation
• 2 — pour la réponse
• 3 — pour la réponse avec cookie
• 4 — pour les données

Un dispositif DPI scannant le trafic recherche simplement ces valeurs. AmneziaWG 2.0 remplace chaque valeur fixe par un nombre aléatoire choisi dans une plage spécifiée. L’en-tête d’initiation (H1) peut être n’importe quelle valeur de 234567 à 345678. L’en-tête de réponse (H2) peut être de 3456789 à 4567890. Ces plages ne se chevauchent jamais — le protocole doit toujours distinguer les types de paquets en interne — mais pour un observateur extérieur, il n’y a pas de valeur d’en-tête unique à laquelle s’accrocher. Chaque paquet a l’air différent du précédent.

Remplissage aléatoire (S1–S4)

Le paquet d’initiation de WireGuard fait toujours exactement 148 octets. Sa réponse fait toujours exactement 92 octets. Ces tailles fixes sont une autre empreinte. AmneziaWG ajoute un remplissage aléatoire à chaque type de paquet : l’initiation devient 148+S1 octets, la réponse devient 92+S2 octets, la réponse avec cookie devient 64+S3 octets, et chaque paquet de données reçoit S4 octets de remplissage. S3 et S4 sont nouveaux dans la version 2.0 — et S4 est l’ajout le plus significatif, car il affecte chaque paquet de données, rendant l’analyse du trafic au niveau de la session beaucoup plus difficile.

Il y a une contrainte critique : S1+56 ne doit pas être égal à S2. Puisque la différence de taille originale entre l’initiation et la réponse est de 56 octets (148−92), si les valeurs de remplissage compensent aléatoirement exactement cette différence, deux paquets remplis finiront par avoir la même taille — recréant l’empreinte que AmneziaWG essaie d’éliminer. Le générateur de paramètres de l’installateur garantit automatiquement cette contrainte.

Signature de protocole personnalisée (I1–I5)

Avant que la véritable poignée de main ne commence, le client AmneziaWG envoie jusqu’à cinq paquets de substitution qui imitent d’autres protocoles — QUIC, DNS, SIP ou des motifs d’octets personnalisés. Le serveur ignore complètement ces paquets. Il attend simplement la véritable poignée de main.

• Configuration simple : Envoie 128 octets aléatoires <r 128>.
• Configuration complexe : Envoie des octets qui ressemblent à l’initiation d’une connexion QUIC (<b 0xc000000001><r 64><t>), avec un horodatage Unix.

Pour un système DPI observant le début de session, les premiers paquets ressemblent à un trafic web normal.

Paquets inutiles (Jc, Jmin, Jmax)

Après les paquets de substitution, le client envoie un nombre personnalisable de paquets inutiles — du bruit pur avec des tailles aléatoires de Jmin à Jmax. Ces paquets brouillent le profil de timing et de taille du début de session, rendant plus difficile pour les systèmes DPI d’identifier où commence la véritable poignée de main.

Question de vitesse

Il y a un chiffre qui circule sur Internet : AmneziaWG a 65 % de surcharge. Ce chiffre est réel, mais il fait référence à l’implémentation Go en espace utilisateur — pas au module du noyau. L’installateur communautaire utilisé dans ce guide construit un module de noyau DKMS, et le module du noyau ajoute moins de 12 % de surcharge globale — plus proche de 3 % dans des tests réels. Sur un réseau non censuré, vous verriez environ 95 Mbps via WireGuard et 92 Mbps via AmneziaWG 2.0. Sur un réseau censuré, la comparaison est de 92 Mbps contre zéro.

Le tableau suivant résume les paramètres que l’installateur génère automatiquement :

Vous n’avez pas besoin de définir manuellement aucun de ces paramètres. L’installateur génère des valeurs aléatoires cryptographiquement qui respectent les contraintes à chaque fois.

Maintenant que vous savez comment fonctionne l’obfuscation, voyons comment AmneziaWG se compare aux alternatives que vous pourriez envisager.

AmneziaWG vs Alternatives — Guide de prise de décision rapide

Les règles de prise de décision sont simples :

• Pas de DPI dans votre pays ? Utilisez WireGuard normal. C’est plus facile et a un écosystème plus large.
• Besoin de la protection DPI maximale et ne craignez pas les proxies ? VLESS+Reality est la meilleure option pour l’obfuscation, mais ce n’est pas un tunnel complet.
• Vous voulez à la fois la vitesse et un tunnel complet avec obfuscation ? AmneziaWG 2.0 est la seule option qui offre des performances de niveau WireGuard avec une véritable protection DPI dans un tunnel VPN complet.
• Vous utilisez déjà OpenVPN+obfs4 et cela fonctionne encore ? Pas besoin urgent de changer, mais AmneziaWG sera nettement plus rapide.

Cet article se concentre sur AmneziaWG car c’est le seul protocole qui vous fournit un tunnel complet, des performances au niveau du noyau et une obfuscation intégrée — le tout configuré avec un seul script.

Si AmneziaWG est le bon choix pour votre situation, voici ce dont vous avez besoin avant de commencer le déploiement.

Ce dont vous avez besoin avant de commencer

Avant d’exécuter l’installateur, assurez-vous que votre environnement répond à ces exigences :

⚠️ Avertissement : Les conteneurs LXC ne sont pas supportés. Si votre VPS utilise la virtualisation LXC, la construction du module du noyau DKMS échouera. Vous devez utiliser KVM ou bare-metal. Vérifiez auprès de votre fournisseur si vous n’êtes pas sûr.

⚠️ Avertissement : Si votre SSH fonctionne sur un port non standard (autre que 22), vous devez l’ouvrir dans UFW avant d’exécuter l’installateur :

sudo ufw allow YOUR_PORT/tcp

Remplacez YOUR_PORT par votre port SSH réel. L’installateur inclut UFW avec une politique par défaut — si votre port SSH n’est pas autorisé, vous serez immédiatement bloqué.

💡 Conseil : Attendez 5–10 minutes après avoir créé votre VPS avant d’exécuter l’installateur. Cloud-init et les processus d’initialisation en arrière-plan peuvent entrer en conflit avec les appels apt-get que l’installateur effectue.

Avec votre VPS prêt et les prérequis confirmés, déployons AmneziaWG 2.0 en utilisant le script d’installation communautaire — la méthode la plus rapide et la plus transparente.

Méthode 1 — Déployer avec l’installateur CLI (Recommandé)

C’est la méthode d’installation principale. Vous téléchargerez un script d’installation versionné, l’exécuterez en tant que root, parcourrez huit étapes automatisées (avec deux redémarrages attendus), et vous vous retrouverez avec un serveur AmneziaWG 2.0 entièrement configuré. L’installateur s’occupe de tout : installation des paquets, compilation du module du noyau, configuration du pare-feu, génération de paramètres et démarrage du service.

6.1 — Connectez-vous à votre VPS via SSH

Ouvrez votre terminal et connectez-vous à votre serveur :

Remplacez <SERVER_IP> par l’adresse IP publique réelle de votre VPS. Si votre fournisseur vous a donné un utilisateur non-root, connectez-vous avec cet utilisateur puis élevez :

Vous devriez voir la bannière de bienvenue d’Ubuntu 24.04 suivie d’un prompt root :

6.2 — Téléchargez et exécutez l’installateur

Téléchargez le script d’installation, rendez-le exécutable et exécutez-le :

L’URL est versionnée à v5.8.1 — la dernière version à partir d’avril 2026. C’est une sécurité de chaîne d’approvisionnement : cela garantit que le script téléchargé correspond à la version testée, même si le dépôt a été mis à jour depuis.

L’installateur commence par vérifier votre système :

Si un contrôle échoue, l’installateur s’arrête et vous dit pourquoi. Corrigez le problème et réexécutez la commande.

6.3 — Parcourez les invites de l’installateur

L’installateur est une machine à états à huit étapes avec support de reprise après redémarrage. Il enregistre ses progrès dans /root/awg/setup_state, donc si le serveur redémarre, vous n’avez qu’à exécuter la même commande à nouveau et il reprend là où il s’était arrêté.

Étape 0 : Initialisation — L’installateur vérifie votre OS, le type de virtualisation, la RAM et l’espace disque. Il crée le répertoire de travail /root/awg/ et met en place un fichier de verrouillage pour empêcher les exécutions parallèles.

Étape 1 : Mise à jour du système & Installation des paquets — L’installateur exécute

, puis installe AmneziaWG, DKMS, les en-têtes Linux, UFW, Fail2Ban, les outils de génération de QR codes et d’autres dépendances.

📝 Remarque : L’installateur supprime également plusieurs services en arrière-plan qui consomment des ressources sur les instances VPS minimales : snapd, modemmanager, networkd-dispatcher, unattended-upgrades, packagekit, lxd-agent-loader et udisks2. C’est intentionnel et sûr.

Lorsque l’étape 1 est terminée, l’installateur demande un redémarrage :

Tapez y et appuyez sur Entrée. Après le redémarrage du serveur, reconnectez-vous via SSH et réexécutez la même commande :

Le script lit son état enregistré et continue à l’étape 2 sans redemander aucune invite.

Étape 2 : Construction du module du noyau DKMS — L’installateur compile le module du noyau AmneziaWG contre votre noyau actuel et l’enregistre auprès de DKMS pour une reconstruction automatique lors des futures mises à jour du noyau :

Un second redémarrage est demandé. Tapez y et appuyez sur Entrée.

📝 Remarque : Deux redémarrages pendant l’installation sont normaux et attendus. Le premier charge les nouveaux en-têtes du noyau, le second active le module du noyau nouvellement construit. Le script enregistre l’état entre les redémarrages — rien n’est perdu.

Après le second redémarrage, reconnectez-vous via SSH et exécutez l’installateur une fois de plus :

Étape 3 : Vérification du module après redémarrage — Le script vérifie que le module du noyau est chargé (lsmod | grep amneziawg). Si la construction DKMS a échoué pour une raison quelconque, il revient à l’implémentation Go en espace utilisateur avec un avertissement concernant la surcharge plus élevée.

Étape 4 : Configuration du pare-feu — UFW est activé avec une politique par défaut de refus des entrées. L’installateur ajoute une règle de limitation de taux SSH sur le port 22, ouvre votre port VPN pour le trafic UDP et configure des règles de routage pour l’interface awg0.

Étape 5 : Téléchargement des scripts de gestion — Les scripts de gestion des clients (manage_amneziawg_en.sh et awg_common_en.sh) sont téléchargés dans /root/awg/ avec des permissions réservées au propriétaire (700). Ceux-ci sont également versionnés à v5.8.1.

Étape 6 : Configuration interactive — L’installateur pose maintenant quatre questions :

• Port UDP (par défaut : 39743, plage 1024–65535). Le défaut est un port élevé aléatoire — gardez-le à moins que votre FAI ne soit connu pour bloquer les ports UDP élevés.
• Subnet du tunnel (par défaut : 10.9.9.1/24). C’est votre réseau VPN interne. Le serveur obtient .1, les clients obtiennent .2 à .254, supportant jusqu’à 253 clients.
• Désactiver IPv6 (par défaut : Y). Recommandé — désactiver IPv6 empêche le trafic de fuir en dehors du tunnel sur des routes IPv6.
• Mode de routage : Choisissez 1 pour tout le trafic, 2 pour Amnezia List + DNS (recommandé), ou 3 pour des réseaux personnalisés. Le mode 2 route uniquement les plages IP publiques bloquées et DNS via le VPN, gardant votre accès au réseau local rapide et direct.

💡 Conseil : Le MTU est réglé à 1280 par défaut. C’est le MTU IPv6 minimum et est critique pour les réseaux mobiles et cellulaires. iOS est strict sur la découverte de MTU de chemin, et les réseaux cellulaires ont souvent un MTU effectif inférieur à celui de WireGuard par défaut de 1420. Laissez cela à 1280.

Étape 7 : Démarrage du service — L’installateur génère la configuration du serveur dans /etc/amnezia/amneziawg/awg0.conf, crée deux configurations clients par défaut (my_phone et my_laptop) dans /root/awg/, génère des QR codes et démarre le service systemd awg-quick@awg0.

Étape 8 : Achèvement — Vous verrez le message de succès :

L’installateur génère automatiquement tous les paramètres d’obfuscation AmneziaWG 2.0. Vous n’avez pas besoin de les toucher. Chaque serveur obtient un ensemble unique de valeurs — il n’y a pas d’empreinte universelle pour les systèmes DPI à détecter.

6.4 — Gestion des clients après installation

Le script de gestion à /root/awg/manage_amneziawg.sh gère toutes les opérations du cycle de vie des clients. Voici les commandes essentielles :

Ajouter un nouveau client :

Cela génère un fichier .conf, un code QR et un fichier .vpnuri pour le nouveau client. La configuration du serveur est rechargée à chaud — aucun redémarrage de service nécessaire.

Ajouter un client temporaire à expiration automatique :

Un job cron vérifie toutes les cinq minutes et supprime automatiquement le client lorsqu’il expire. La configuration, les clés et l’entrée du serveur sont toutes nettoyées.

Lister tous les clients :

Clients:
  my_phone     (10.9.9.2/32)
  my_laptop    (10.9.9.3/32)
  my_desktop   (10.9.9.4/32)
  guest        (10.9.9.5/32) [expires in 6d 23h]

Ajoutez le -v pour des détails supplémentaires incluant les clés publiques et les dates de création.

Supprimer un client :

Vérifier l’état complet du serveur :

Cela montre l’état du service, le port ouvert, tous les paramètres AWG 2.0, l’état du module du noyau, l’état de UFW et l’état de Fail2Ban en une seule vue.

Voir les statistiques de trafic par client :

Client          Received        Sent            Latest handshake
───────────────────────────────────────────────────────────────────
my_phone        1.24 GiB        356.7 MiB       2 minutes ago
my_laptop       892.3 MiB       128.4 MiB       15 seconds ago
my_desktop      0 B             0 B             (none)

Créer une sauvegarde :

Cela crée une archive compressée dans /root/awg/backups/ contenant votre configuration de serveur, les configurations de clients, les clés et les données d’expiration.

📝 Remarque : Les commandes add et remove utilisent awg syncconf pour le rechargement à chaud. La configuration du serveur se met à jour instantanément sans redémarrer le service. N’utilisez restart que lorsque vous changez des paramètres côté serveur comme le port ou le MTU.

6.5 — Vérifiez que le serveur fonctionne

Parcourez ces vérifications pour confirmer que tout fonctionne :

Vérifiez le service systemd :

● awg-quick@awg0.service - AmneziaWG Quick via awg-quick(8) for awg0
     Loaded: loaded (/lib/systemd/system/awg-quick@.service; enabled)
     Active: active (exited) since Thu 2026-04-09 14:32:01 UTC

Vérifiez l’état et les paramètres d’AmneziaWG :

Vérifiez le pare-feu :

Status: active
Default: deny (incoming), allow (outgoing)
22/tcp                     LIMIT IN    Anywhere
39743/udp                  ALLOW IN    Anywhere

Vérifiez Fail2Ban :

Status for the jail: sshd
|- Filter
|  |- Currently failed: 0
|  `- Total failed: 0
`- Actions
   |- Currently banned: 0
   `- Banned IP list:

Vérifiez le module du noyau DKMS :

amneziawg/2.0, 6.8.0-xx-generic, x86_64: installed

Si les cinq vérifications réussissent, votre serveur AmneziaWG 2.0 fonctionne et est prêt à accepter des connexions.

Votre serveur fonctionne et a été vérifié. Si vous préférez une approche basée sur une interface graphique plutôt que sur le terminal, voici la méthode alternative utilisant l’application AmneziaVPN.

Méthode 2 — Déployer avec l’application AmneziaVPN (Alternative)

L’application de bureau AmneziaVPN peut auto-installer AmneziaWG sur votre serveur via SSH. Elle utilise le même script d’installation sous-jacent que la méthode CLI, mais enveloppe tout dans une interface guidée. C’est idéal si vous souhaitez une expérience d’installation sans intervention.

1. Téléchargez AmneziaVPN depuis amnezia.org/en/downloads. Il est disponible pour Windows, macOS, Linux, Android et iOS.
2. Ouvrez l’application et cliquez sur le ➕ (icône plus) ou Commencer.
3. Sélectionnez “VPN auto-hébergé” parmi les options présentées.
4. Entrez vos identifiants de serveur :
   • Adresse IP du serveur (et port si SSH n’est pas sur 22, par exemple, 203.0.113.10:2221)
   • Nom d’utilisateur SSH (par exemple, root)
   • Mot de passe ou clé privée SSH
5. Choisissez le type d’installation :
   • Automatique — installe uniquement AmneziaWG (recommandé)
   • Manuelle — choisissez un protocole spécifique dans la liste
6. Cliquez sur “Installer” — l’application se connecte à votre serveur via SSH et exécute l’installation automatiquement. Vous verrez un indicateur de progression.
7. Après l’installation, l’application crée un profil de connexion VPN prêt à l’emploi.

Remarques après installation :

• L’application installe AmneziaWG avec un port aléatoire par défaut. Certains FAI bloquent l’UDP sur des ports élevés. L’application recommande de changer pour un port inférieur à 9999 (comme 585 ou 1234). Pour le changer : cliquez sur l’icône d’engrenage à côté de la connexion → onglet Gestion → changez le numéro de port.
• Si votre serveur a déjà des logiciels Amnezia installés, cliquez sur “Ignorer la configuration” lors de la création de connexion, puis utilisez “Vérifier le serveur pour les services Amnezia précédemment installés” dans l’onglet Gestion.

Voici comment les deux méthodes se comparent :

manage_amneziawg.sh

Que vous ayez utilisé la CLI ou l’application, votre serveur est prêt. Maintenant, connectons votre premier appareil.

Connexion de votre premier client

Après l’installation, vous avez trois façons d’importer la configuration client dans l’application Amnezia VPN. Choisissez celle qui correspond à votre appareil.

Méthode A : Code QR (Mobile)

L’installateur a généré un code QR à /root/awg/my_phone.png. Téléchargez-le sur votre ordinateur :

Ouvrez le fichier PNG sur votre écran. Sur votre téléphone, ouvrez l’application Amnezia VPN, appuyez sur “Ajouter un VPN” → “Scanner le code QR”, et pointez votre caméra vers le code QR sur votre écran. La connexion s’importe automatiquement.

Méthode B : vpn:// URI (Client Amnezia)

Affichez l’URI compressé sur votre serveur :

Copiez l’intégralité de la chaîne vpn://… et envoyez-la-vous — via Telegram, email ou une application de notes. Sur votre téléphone, ouvrez l’application Amnezia VPN, appuyez sur “Ajouter un VPN” → “Coller depuis le presse-papiers”. La configuration s’importe en une étape.

L’URI est une version compressée zlib, encodée en Base64 du fichier de configuration complet. C’est compact et conçu pour un partage rapide.

Méthode C : Fichier .conf (Bureau/Windows)

Téléchargez le fichier de configuration :

Ouvrez le client AmneziaWG pour Windows ou l’application de bureau AmneziaVPN, cliquez sur “Importer le(s) tunnel(s) depuis le fichier”, et sélectionnez le fichier .conf.

Vérifiez la connexion

Une fois connecté, vérifiez que le tunnel achemine votre trafic via le serveur :

curl ifconfig.me

La sortie doit afficher l’adresse IP publique de votre serveur, pas la vôtre : 203.0.113.1

Pour plus de détails, y compris la localisation géographique du serveur :

{
  "ip": "203.0.113.1",
  "city": "Amsterdam",
  "region": "North Holland",
  "country": "NL",
  ...
}

⚠️ Avertissement : Le client WireGuard standard ne fonctionne pas avec les configurations AmneziaWG 2.0. Vous devez utiliser l’application Amnezia VPN (version 4.8.12.7 ou ultérieure) ou un client AmneziaWG natif (version 2.0.0 ou ultérieure sur Windows/Android/iOS).

⚠️ Avertissement : Si vous voyez “Clé invalide : s3” sur Windows, votre client AmneziaWG pour Windows est obsolète (version inférieure à 2.0.0). Mettez à jour vers la version 2.0.0+ ou passez à l’application Amnezia VPN.

💡 Conseil : Si vous êtes connecté mais n’avez pas Internet, vérifiez que votre configuration client a MTU = 1280 dans la section [Interface]. C’est la cause la plus courante de “poignée de main réussie mais pas de trafic” sur les réseaux mobiles.

Votre tunnel VPN fonctionne. Voici où aller à partir d’ici pour tirer le meilleur parti de votre configuration.

Et après — Étendre votre configuration

Vous avez maintenant un tunnel VPN résistant au DPI fonctionnant sur votre propre serveur, sous votre contrôle, avec une vitesse de niveau WireGuard. La mort silencieuse des paquets qui a tué votre connexion WireGuard n’est plus un problème — votre trafic ressemble à rien que les systèmes DPI puissent identifier de manière fiable.

Voici les choses les plus utiles que vous pouvez faire ensuite :

1. Ajouter des clients pour votre famille ou votre équipe — utilisez le script de gestion pour générer des configurations pour chaque appareil qui a besoin d’accès.
2. Configurer le tunneling fractionné si vous n’avez pas besoin d’un routage de tunnel complet — cela garde le trafic local rapide et réduit la bande passante sur votre VPS.
3. Sauvegarder vos configurations — exécutez la commande de sauvegarde et stockez l’archive quelque part en sécurité. Si votre serveur doit un jour être reconstruit, c’est ce qui vous sauvera de devoir tout recommencer.

Configurer le tunneling fractionné si vous n’avez pas besoin que tout le trafic passe par le VPN. Cela est particulièrement utile dans les pays avec une censure partielle — routez uniquement les sites bloqués via le tunnel et gardez le trafic local direct :

Changer votre DNS client si vous préférez des résolveurs différents :

Ajuster PersistentKeepalive si vous êtes sur une configuration NAT agressive. La valeur par défaut de 33 secondes maintient la session UDP à travers le NAT — la réduire à 25 peut aider sur les réseaux qui abandonnent rapidement les sessions UDP inactives :

Installer sur votre routeur pour une couverture réseau complète. AmneziaWG est supporté sur les routeurs Keenetic via AWG Manager et sur les routeurs ASUS exécutant Asuswrt-Merlin via AmneziaWG pour Merlin.

Sauvegardez votre configuration maintenant, avant que quoi que ce soit ne change :

Si vous devez un jour migrer vers un nouveau serveur, exécutez une nouvelle installation puis :

La commande restore ramène vos configurations et clés, et regen met à jour les configurations clients avec la nouvelle IP du serveur.

Pour une documentation plus approfondie, les documents officiels d’Amnezia se trouvent sur docs.amnezia.org et la communauté est active sur Telegram.

Si vous recherchez un VPS fiable pour héberger votre serveur AmneziaWG — ou si vous devez évoluer avec des points de terminaison supplémentaires pour les membres de l’équipe — AvaHost fournit une virtualisation KVM avec un accès root complet, un stockage NVMe et un support Ubuntu 24.04 que cette configuration nécessite. Leur infrastructure est spécialement conçue pour le type de déploiements auto-hébergés que ce guide couvre.