AmneziaWG VPN

Parole chiave

Server VPN AmneziaWG auto-distribuente — Guida completa

AmneziaWG è un protocollo progettato per risolvere un problema specifico: come raggiungere le velocità di WireGuard quando le reti a cui ti connetti cercano attivamente di bloccarlo? È un fork di WireGuard creato dal team di Amnezia VPN e fa ciò che l’originale non fa: randomizza il livello di trasporto in modo che i sistemi di ispezione profonda dei pacchetti non possano identificarlo. La crittografia rimane esattamente la stessa. Solo l’aspetto dei pacchetti nella rete cambia.

Il vasto panorama dell’offuscamento VPN è stata una corsa agli armamenti nel corso degli anni. Strumenti come Shadowsocks, VLESS+Reality e OpenVPN con obfs4 tentano di mascherare il traffico in vari modi: alcuni come proxy, altri come tunnel completi, alcuni con costi di prestazioni elevati. AmneziaWG occupa una nicchia specifica: è un tunnel VPN completo con prestazioni a livello di WireGuard e protezione DPI integrata, tutto in un unico pacchetto. E poiché è open-source, puoi distribuirlo sul tuo server.

Ma ecco il problema che rende questo necessario. Configuri WireGuard. Funziona perfettamente: veloce, pulito, affidabile. Poi un bel giorno, smette. Nessun messaggio di errore, nessun timeout, nessun rifiuto di connessione. I pacchetti semplicemente scompaiono. Questo è ciò che sembra il blocco DPI in pratica: il tuo tunnel è ancora operativo, la tua configurazione è ancora corretta e nulla passa. Questa è la realtà in Russia (dove WireGuard ha circa il 12% di successo), Iran (98% di perdita di pacchetti) e un elenco crescente di paesi tra cui Cina, Egitto, UAE, Turchia, Bielorussia, Uzbekistan, Kazakistan, Myanmar e Pakistan.

Le alternative tradizionali non risolvono completamente questo problema. Shadowsocks è un proxy, non un tunnel VPN completo: il tuo traffico DNS e non TCP continuerà a fuoriuscire. OpenVPN con obfs4 funziona ma ha circa il 25% di sovraccarico di prestazioni. VLESS+Reality offre una forte offuscamento ma è basato su proxy e complesso da configurare. AmneziaWG riempie il divario: è un tunnel VPN completo con prestazioni a livello di WireGuard e protezione DPI integrata.

Questa guida ti guiderà attraverso la distribuzione di un server AmneziaWG 2.0 completamente funzionale su qualsiasi VPS KVM in meno di 15 minuti utilizzando un singolo script di installazione della comunità. Alla fine, avrai un tunnel VPN funzionante a cui puoi connetterti da qualsiasi dispositivo. I passaggi sono indipendenti dal fornitore: funzionano su qualsiasi VPS con accesso SSH e privilegi di root, sia da AlexHost, AvaHost o un altro. Questo è scritto per utenti con un livello intermedio di competenze tecniche che si sentono a proprio agio a lavorare con SSH e comandi Linux di base.

Una precisazione prima di iniziare: AmneziaWG è un protocollo. AmneziaVPN è un’applicazione client che si connette ad esso. Sono correlati ma distinti, come TLS per il tuo browser. Avrai bisogno di un’applicazione per connetterti, ma il protocollo è ciò che gira sul tuo server.

Ma prima di distribuire qualsiasi cosa, devi capire cosa rende AmneziaWG diverso da WireGuard — e perché quella differenza è importante quando il DPI ti sta osservando.

Cos’è AmneziaWG? (Modello mentale)

WireGuard è elegante nel suo design. Ha un codice sorgente ridotto, utilizza crittografia moderna e gira nel kernel Linux per prestazioni quasi native. Ma questa eleganza ha un problema di visibilità: ogni pacchetto WireGuard porta la stessa struttura di intestazione fissa, le stesse dimensioni fisse dei pacchetti e lo stesso modello di handshake. Per un sistema di ispezione profonda dei pacchetti, il tunnel WireGuard ha una firma chiara come un codice a barre. Una volta che un dispositivo DPI apprende questa firma, può scartare ogni pacchetto senza bloccare la porta o chiudere la connessione.

Pensalo in questo modo. WireGuard è come un corriere che indossa sempre la stessa uniforme: veloce, affidabile ed efficiente. Ma chiunque osservi la strada impara a riconoscere quell’uniforme e può fermare il corriere a qualsiasi checkpoint. AmneziaWG è lo stesso corriere che trasporta gli stessi pacchi, ma cambia la sua uniforme a ogni checkpoint. La stessa persona, la stessa merce, un aspetto completamente diverso.

La cronologia delle versioni è importante. AmneziaWG 1.x ha introdotto intestazioni personalizzate che differivano dai valori fissi di WireGuard: questo ha aiutato per un po’, ma i sistemi DPI si sono adattati. AmneziaWG 2.0, rilasciato alla fine del 2025, randomizza tutto: le intestazioni cambiano da pacchetto a pacchetto, il padding varia da messaggio a messaggio e i pacchetti sostitutivi imitano altri protocolli prima che inizi l’effettivo handshake. Non esiste una firma universale per la rilevazione perché ogni server AmneziaWG 2.0 genera il proprio set unico di parametri. Ogni server parla il proprio dialetto.

Quando tutti i parametri di offuscamento sono impostati a zero, AmneziaWG si comporta in modo identico a WireGuard: è completamente retrocompatibile a livello di protocollo. Ma con parametri attivi (che è l’impostazione predefinita), diventa ciò che WireGuard non può essere: un tunnel VPN veloce che i sistemi DPI faticano a identificare.

Quindi come fa esattamente AmneziaWG a crittografare il suo traffico? Diamo un’occhiata ai quattro livelli di offuscamento che rendono cieco il DPI — e perché aggiungono quasi nessun costo di velocità.

Come AmneziaWG si nasconde dal DPI (senza perdita di velocità)

AmneziaWG 2.0 utilizza quattro livelli di offuscamento che lavorano insieme. Ognuno mira a un modo diverso in cui i sistemi DPI identificano il traffico VPN. Insieme, rendono il traffico di ogni server unico.

Intestazioni dinamiche (H1–H4)

WireGuard utilizza identificatori di tipo messaggio fissi a 32 bit:

• 1 — per l’inizio
• 2 — per la risposta
• 3 — per la risposta con cookie
• 4 — per i dati

Un dispositivo DPI che scansiona il traffico cerca semplicemente questi valori. AmneziaWG 2.0 sostituisce ciascun valore fisso con un numero casuale scelto da un intervallo specificato. L’intestazione di inizio (H1) può essere qualsiasi valore da 234567 a 345678. L’intestazione di risposta (H2) può essere da 3456789 a 4567890. Questi intervalli non si sovrappongono mai: il protocollo deve comunque distinguere i tipi di pacchetto internamente — ma per un osservatore esterno, non c’è un singolo valore di intestazione su cui aggrapparsi. Ogni pacchetto appare diverso dal precedente.

Padding casuale (S1–S4)

Il pacchetto di inizio di WireGuard è sempre esattamente di 148 byte. La sua risposta è sempre esattamente di 92 byte. Queste dimensioni fisse sono un’altra impronta. AmneziaWG aggiunge padding casuale a ciascun tipo di pacchetto: l’inizio diventa 148+S1 byte, la risposta diventa 92+S2 byte, la risposta con cookie diventa 64+S3 byte, e ciascun pacchetto di dati riceve S4 byte di padding. S3 e S4 sono nuovi nella versione 2.0 — e S4 è l’aggiunta più significativa, poiché influisce su ogni singolo pacchetto di dati, rendendo l’analisi del traffico a livello di sessione molto più difficile.

C’è un vincolo critico: S1+56 non deve essere uguale a S2. Poiché la differenza di dimensione originale tra inizio e risposta è di 56 byte (148−92), se i valori di padding compensano casualmente esattamente quella differenza, due pacchetti imbottiti finiranno per avere la stessa dimensione — ricreando l’impronta che AmneziaWG sta cercando di eliminare. Il generatore di parametri dell’installer garantisce automaticamente questo vincolo.

Firma di protocollo personalizzata (I1–I5)

Prima che inizi l’effettivo handshake, il client AmneziaWG invia fino a cinque pacchetti sostitutivi che imitano altri protocolli — QUIC, DNS, SIP o modelli di byte personalizzati. Il server ignora completamente questi pacchetti. Aspetta semplicemente il vero handshake.

• Configurazione semplice: Invia 128 byte casuali <r 128>.
• Configurazione complessa: Invia byte che sembrano avviare una connessione QUIC (<b 0xc000000001><r 64><t>), con un timestamp Unix.

Per un sistema DPI che osserva l’inizio della sessione, i primi pacchetti sembrano traffico web normale.

Pacchetti spazzatura (Jc, Jmin, Jmax)

Dopo i pacchetti sostitutivi, il client invia un numero personalizzabile di pacchetti spazzatura — puro rumore con dimensioni casuali da Jmin a Jmax. Questi pacchetti sfocano il profilo di temporizzazione e dimensione dell’inizio della sessione, rendendo più difficile per i sistemi DPI identificare dove inizia il vero handshake.

Domanda sulla velocità

Circola un numero su internet: AmneziaWG ha un sovraccarico del 65%. Questa cifra è reale, ma si riferisce all’implementazione in user-space di Go — non al modulo del kernel. L’installer della comunità utilizzato in questa guida costruisce un modulo del kernel DKMS, e il modulo del kernel aggiunge meno del 12% di sovraccarico complessivo — più vicino al 3% nei test reali. Su una rete non censurata, vedresti circa 95 Mbps tramite WireGuard e 92 Mbps tramite AmneziaWG 2.0. Su una rete censurata, il confronto è 92 Mbps contro zero.

La seguente tabella riassume i parametri che l’installer genera automaticamente:

Non è necessario impostare manualmente nessuno di questi parametri. L’installer genera valori casuali crittograficamente che soddisfano i vincoli ogni volta.

Ora che sai come funziona l’offuscamento, vediamo come AmneziaWG si confronta con le alternative che potresti considerare.

AmneziaWG vs Alternative — Guida rapida per prendere decisioni

Le regole per prendere decisioni sono semplici:

• Nessun DPI nel tuo paese? Usa WireGuard normale. È più facile e ha un ecosistema più ampio.
• Hai bisogno della massima protezione DPI e non ti dispiace i proxy? VLESS+Reality è l’opzione più forte per l’offuscamento, ma non è un tunnel completo.
• Vuoi sia velocità che un tunnel completo con offuscamento? AmneziaWG 2.0 è l’unica opzione che offre prestazioni a livello di WireGuard con vera protezione DPI in un tunnel VPN completo.
• Stai già usando OpenVPN+obfs4 e funziona ancora? Nessuna necessità urgente di cambiare, ma AmneziaWG sarà notevolmente più veloce.

Questo articolo si concentra su AmneziaWG perché è l’unico protocollo che ti offre un tunnel completo, prestazioni a livello di kernel e offuscamento integrato — tutto impostato con un singolo script.

Se AmneziaWG è la scelta giusta per la tua situazione, ecco cosa ti serve prima di iniziare la distribuzione.

Cosa ti serve prima di iniziare

Prima di eseguire l’installer, assicurati che il tuo ambiente soddisfi questi requisiti:

⚠️ Avviso: I container LXC non sono supportati. Se il tuo VPS utilizza la virtualizzazione LXC, la costruzione del modulo del kernel DKMS fallirà. Devi utilizzare KVM o bare-metal. Controlla con il tuo fornitore se non sei sicuro.

⚠️ Avviso: Se il tuo SSH è in esecuzione su una porta non standard (qualsiasi cosa diversa da 22), devi aprire in UFW prima di eseguire l’installer:

sudo ufw allow YOUR_PORT/tcp

Sostituisci YOUR_PORT con la tua reale porta SSH. L’installer include UFW con una politica predefinita: se la tua porta SSH non è consentita, verrai immediatamente bloccato.

💡 Suggerimento: Aspetta 5–10 minuti dopo aver creato il tuo VPS prima di eseguire l’installer. Cloud-init e i processi di inizializzazione in background possono confliggere con le chiamate apt-get che l’installer effettua.

Con il tuo VPS pronto e i prerequisiti confermati, procediamo a distribuire AmneziaWG 2.0 utilizzando lo script di installazione della comunità — il metodo più veloce e trasparente.

Metodo 1 — Distribuisci con l’installer CLI (raccomandato)

Questo è il metodo di installazione principale. Scaricherai uno script di installazione bloccato sulla versione, lo eseguirai come root, passerai attraverso otto passaggi automatizzati (con due riavvii previsti) e finirai con un server AmneziaWG 2.0 completamente configurato. L’installer gestisce tutto: installazione dei pacchetti, compilazione del modulo del kernel, configurazione del firewall, generazione dei parametri e avvio del servizio.

6.1 — Connettiti al tuo VPS tramite SSH

Apri il tuo terminale e connettiti al tuo server:

Sostituisci <SERVER_IP> con l’indirizzo IP pubblico reale del tuo VPS. Se il tuo fornitore ti ha dato un utente non root, accedi con quell’utente e poi esegui l’upgrade:

Dovresti vedere il banner di benvenuto di Ubuntu 24.04 seguito da un prompt di root:

6.2 — Scarica e esegui l’installer

Scarica lo script di installazione, rendilo eseguibile ed eseguilo:

L’URL è bloccato sulla versione v5.8.1 — l’ultima release ad aprile 2026. Questa è sicurezza della supply chain: garantisce che lo script scaricato corrisponda alla versione testata, anche se il repository è stato aggiornato nel frattempo.

L’installer inizia controllando il tuo sistema:

Se qualche controllo fallisce, l’installer si ferma e ti dice perché. Risolvi il problema e riesegui il comando.

6.3 — Segui i prompt dell’installer

L’installer è una macchina a stati a otto passaggi con supporto per riprendere dopo il riavvio. Salva i suoi progressi in /root/awg/setup_state, quindi se il server si riavvia, basta eseguire di nuovo lo stesso comando e riprende da dove si era fermato.

Passo 0: Inizializzazione — L’installer controlla il tuo OS, tipo di virtualizzazione, RAM e spazio su disco. Crea la directory di lavoro /root/awg/ e imposta un file di blocco per prevenire esecuzioni parallele.

Passo 1: Aggiornamento del sistema & installazione dei pacchetti — L’installer esegue

, quindi installa AmneziaWG, DKMS, intestazioni Linux, UFW, Fail2Ban, strumenti per la generazione di codici QR e altre dipendenze.

📝 Nota: L’installer rimuove anche diversi servizi in background che consumano risorse su istanze VPS minime: snapd, modemmanager, networkd-dispatcher, unattended-upgrades, packagekit, lxd-agent-loader e udisks2. Questo è intenzionale e sicuro.

Quando il Passo 1 è completato, l’installer richiede un riavvio:

Digita y e premi Invio. Dopo che il server si è riavviato, accedi di nuovo tramite SSH e riesegui lo stesso comando:

Lo script legge il suo stato salvato e continua al Passo 2 senza ripetere alcun prompt.

Passo 2: Costruzione del modulo del kernel DKMS — L’installer compila il modulo del kernel AmneziaWG contro il tuo kernel attuale e lo registra con DKMS per la ricostruzione automatica su futuri aggiornamenti del kernel:

Viene richiesto un secondo riavvio. Digita y e premi Invio.

📝 Nota: Due riavvii durante l’installazione sono normali e previsti. Il primo carica le nuove intestazioni del kernel, il secondo attiva il modulo del kernel appena costruito. Lo script salva lo stato tra i riavvii — nulla va perso.

Dopo il secondo riavvio, accedi di nuovo e esegui l’installer un’altra volta:

Passo 3: Verifica del modulo post-riavvio — Lo script verifica che il modulo del kernel sia caricato (lsmod | grep amneziawg). Se la costruzione DKMS è fallita per qualsiasi motivo, torna all’implementazione in user-space di Go con un avviso riguardo al sovraccarico maggiore.

Passo 4: Configurazione del firewall — UFW è abilitato con una politica di default di negazione per le connessioni in entrata. L’installer aggiunge una regola di limitazione della velocità SSH sulla porta 22, apre la tua porta VPN per il traffico UDP e configura le regole di routing per l’interfaccia awg0.

Passo 5: Scarica gli script di gestione — Gli script di gestione del client (manage_amneziawg_en.sh e awg_common_en.sh) vengono scaricati in /root/awg/ con permessi solo per il proprietario (700). Questi sono anche bloccati sulla versione v5.8.1.

Passo 6: Configurazione interattiva — L’installer ora pone quattro domande:

• Porta UDP (predefinita: 39743, intervallo 1024–65535). La predefinita è una porta alta casuale — mantienila a meno che il tuo ISP non sia noto per bloccare le porte UDP alte.
• Subnet del tunnel (predefinita: 10.9.9.1/24). Questa è la tua rete VPN interna. Il server ottiene .1, i client ottengono .2 fino a .254, supportando fino a 253 client.
• Disabilita IPv6 (predefinita: S). Raccomandato — disabilitare IPv6 previene la fuoriuscita di traffico al di fuori del tunnel su rotte IPv6.
• Modalità di routing: Scegli 1 per tutto il traffico, 2 per Amnezia List + DNS (raccomandato), o 3 per reti personalizzate. La modalità 2 instrada solo gli intervalli IP pubblici bloccati e DNS attraverso la VPN, mantenendo l’accesso alla tua rete locale veloce e diretto.

💡 Suggerimento: L’MTU è impostato a 1280 per impostazione predefinita. Questo è l’MTU IPv6 minimo ed è critico per reti mobili e cellulari. iOS è rigoroso riguardo alla scoperta dell’MTU di percorso, e le reti cellulari spesso hanno un MTU effettivo inferiore al valore predefinito di WireGuard di 1420. Lascia questo a 1280.

Passo 7: Avvio del servizio — L’installer genera la configurazione del server in /etc/amnezia/amneziawg/awg0.conf, crea due configurazioni client predefinite (my_phone e my_laptop) in /root/awg/, genera codici QR e avvia il servizio systemd awg-quick@awg0.

Passo 8: Completamento — Vedrai il messaggio di successo:

L’installer genera automaticamente tutti i parametri di offuscamento di AmneziaWG 2.0. Non è necessario modificarli. Ogni server riceve un set unico di valori — non esiste un’impronta universale per i sistemi DPI da rilevare.

6.4 — Gestire i client dopo l’installazione

Lo script di gestione in /root/awg/manage_amneziawg.sh gestisce tutte le operazioni del ciclo di vita del client. Ecco i comandi essenziali:

Aggiungi un nuovo client:

Questo genera un file .conf, un codice QR e un file .vpnuri per il nuovo client. La configurazione del server viene ricaricata a caldo — non è necessario riavviare il servizio.

Aggiungi un client temporaneo con scadenza automatica:

Un lavoro cron controlla ogni cinque minuti e rimuove automaticamente il client quando scade. La configurazione, le chiavi e l’entry del server vengono tutte pulite.

Elenca tutti i client:

Clients:
  my_phone     (10.9.9.2/32)
  my_laptop    (10.9.9.3/32)
  my_desktop   (10.9.9.4/32)
  guest        (10.9.9.5/32) [expires in 6d 23h]

Aggiungi il flag -v per ulteriori dettagli tra cui chiavi pubbliche e date di creazione.

Rimuovi un client:

Controlla lo stato completo del server:

Questo mostra lo stato del servizio, la porta aperta, tutti i parametri AWG 2.0, lo stato del modulo del kernel, lo stato di UFW e lo stato di Fail2Ban in un’unica vista.

Visualizza le statistiche del traffico per client:

Client          Received        Sent            Latest handshake
───────────────────────────────────────────────────────────────────
my_phone        1.24 GiB        356.7 MiB       2 minutes ago
my_laptop       892.3 MiB       128.4 MiB       15 seconds ago
my_desktop      0 B             0 B             (none)

Crea un backup:

Questo crea un archivio compresso in /root/awg/backups/ contenente la configurazione del server, le configurazioni dei client, le chiavi e i dati di scadenza.

📝 Nota: I comandi add e remove utilizzano awg syncconf per il caricamento a caldo. La configurazione del server si aggiorna istantaneamente senza riavviare il servizio. Usa restart solo quando cambi parametri lato server come la porta o l’MTU.

6.5 — Verifica che il server sia in esecuzione

Esegui questi controlli per confermare che tutto sia operativo:

Controlla il servizio systemd:

● awg-quick@awg0.service - AmneziaWG Quick via awg-quick(8) for awg0
     Loaded: loaded (/lib/systemd/system/awg-quick@.service; enabled)
     Active: active (exited) since Thu 2026-04-09 14:32:01 UTC

Verifica lo stato e i parametri di AmneziaWG:

Verifica il firewall:

Status: active
Default: deny (incoming), allow (outgoing)
22/tcp                     LIMIT IN    Anywhere
39743/udp                  ALLOW IN    Anywhere

Verifica Fail2Ban:

Status for the jail: sshd
|- Filter
|  |- Currently failed: 0
|  `- Total failed: 0
`- Actions
   |- Currently banned: 0
   `- Banned IP list:

Verifica il modulo del kernel DKMS:

amneziawg/2.0, 6.8.0-xx-generic, x86_64: installed

Se tutti e cinque i controlli passano, il tuo server AmneziaWG 2.0 è in esecuzione ed è pronto ad accettare connessioni.

Il tuo server è in esecuzione e verificato. Se preferisci un approccio basato su GUI invece del terminale, ecco il metodo alternativo utilizzando l’app AmneziaVPN.

Metodo 2 — Distribuisci con l’app AmneziaVPN (alternativa)

L’applicazione desktop AmneziaVPN può installare automaticamente AmneziaWG sul tuo server tramite SSH. Utilizza lo stesso script di installazione sottostante del metodo CLI, ma avvolge tutto in un’interfaccia guidata. Questo è ideale se desideri un’esperienza di installazione senza intervento.

1. Scarica AmneziaVPN da amnezia.org/en/downloads. È disponibile per Windows, macOS, Linux, Android e iOS.
2. Apri l’app e fai clic sull’➕ (icona più) o Inizia.
3. Seleziona “VPN auto-ospitata” dalle opzioni presentate.
4. Inserisci le credenziali del tuo server:
   • Indirizzo IP del server (e porta se SSH non è su 22, ad es., 203.0.113.10:2221)
   • Nome utente SSH (ad es., root)
   • Password o chiave privata SSH
5. Scegli il tipo di installazione:
   • Automatica — installa solo AmneziaWG (raccomandato)
   • Manuale — scegli un protocollo specifico dall’elenco
6. Fai clic su “Installa” — l’app si connette al tuo server tramite SSH e avvia automaticamente l’installazione. Vedrai un indicatore di progresso.
7. Dopo l’installazione, l’app crea un profilo di connessione VPN pronto all’uso.

Note post-installazione:

• L’app installa AmneziaWG con una porta casuale per impostazione predefinita. Alcuni ISP bloccano UDP su porte alte. L’app raccomanda di cambiare a una porta sotto 9999 (come 585 o 1234). Per cambiarla: fai clic sull’icona a forma di ingranaggio accanto alla connessione → scheda Gestione → cambia il numero di porta.
• Se il tuo server ha già installato software Amnezia, fai clic su “Salta configurazione” durante la creazione della connessione, quindi usa “Controlla il server per servizi Amnezia precedentemente installati” nella scheda Gestione.

Ecco come i due metodi si confrontano:

manage_amneziawg.sh

Che tu abbia utilizzato il CLI o l’app, il tuo server è pronto. Ora colleghiamo il tuo primo dispositivo.

Collegare il tuo primo client

Dopo l’installazione, hai tre modi per importare la configurazione del client nell’app Amnezia VPN. Scegli quello che corrisponde al tuo dispositivo.

Metodo A: Codice QR (Mobile)

L’installer ha generato un codice QR in /root/awg/my_phone.png. Scaricalo sul tuo computer:

Apri il file PNG sul tuo schermo. Sul tuo telefono, apri l’app Amnezia VPN, tocca “Aggiungi VPN” → “Scansiona codice QR”, e punta la tua fotocamera al codice QR sullo schermo. La connessione viene importata automaticamente.

Metodo B: vpn:// URI (Client Amnezia)

Visualizza l’URI compresso sul tuo server:

Copia l’intera stringa vpn://… e inviala a te stesso — tramite Telegram, email o un’app per note. Sul tuo telefono, apri l’app Amnezia VPN, tocca “Aggiungi VPN” → “Incolla dagli appunti”. La configurazione viene importata in un solo passaggio.

L’URI è una versione compressa zlib, codificata in Base64 del file di configurazione completo. È compatto e progettato per una rapida condivisione.

Metodo C: File .conf (Desktop/Windows)

Scarica il file di configurazione:

Apri il client AmneziaWG per Windows o l’app desktop AmneziaVPN, fai clic su “Importa tunnel(i) da file”, e seleziona il file .conf.

Verifica la connessione

Una volta connesso, verifica che il tunnel stia instradando il tuo traffico attraverso il server:

curl ifconfig.me

L’output dovrebbe mostrare l’indirizzo IP pubblico del tuo server, non il tuo locale: 203.0.113.1

Per maggiori dettagli, inclusa la posizione geografica del server:

{
  "ip": "203.0.113.1",
  "city": "Amsterdam",
  "region": "North Holland",
  "country": "NL",
  ...
}

⚠️ Avviso: Il client standard WireGuard non funziona con le configurazioni AmneziaWG 2.0. Devi utilizzare l’app Amnezia VPN (versione 4.8.12.7 o successiva) o un client AmneziaWG nativo (versione 2.0.0 o successiva su Windows/Android/iOS).

⚠️ Avviso: Se vedi “Chiave non valida: s3” su Windows, il tuo client AmneziaWG per Windows è obsoleto (versione inferiore a 2.0.0). Aggiorna alla versione 2.0.0+ o passa all’app Amnezia VPN.

💡 Suggerimento: Se sei connesso ma non hai internet, controlla che la tua configurazione client abbia MTU = 1280 nella sezione [Interfaccia]. Questa è la causa più comune di “handshake riuscito ma nessun traffico” su reti mobili.

Il tuo tunnel VPN sta funzionando. Ecco dove andare da qui per ottenere il massimo dal tuo setup.

Cosa fare dopo — Estendere la tua configurazione

Ora hai un tunnel VPN resistente al DPI in esecuzione sul tuo server, sotto il tuo controllo, con velocità a livello di WireGuard. La morte silenziosa dei pacchetti che ha ucciso la tua connessione WireGuard non è più un problema: il tuo traffico non sembra nulla che un sistema DPI possa identificare in modo affidabile.

Ecco le cose più utili che puoi fare dopo:

1. Aggiungi client per la tua famiglia o il tuo team — usa lo script di gestione per generare configurazioni per ogni dispositivo che ha bisogno di accesso.
2. Configura il tunneling diviso se non hai bisogno di instradare tutto il traffico attraverso la VPN — mantiene il traffico locale veloce e riduce la larghezza di banda sul tuo VPS.
3. Fai un backup delle tue configurazioni — esegui il comando di backup e archivia l’archivio in un luogo sicuro. Se il tuo server ha mai bisogno di essere ricostruito, questo è ciò che ti salva dal dover ricominciare da capo.

Configura il tunneling diviso se non hai bisogno che tutto il traffico venga instradato attraverso la VPN. Questo è particolarmente utile in paesi con censura parziale: instrada solo i siti bloccati attraverso il tunnel e mantieni il traffico locale diretto:

Cambia il tuo DNS client se preferisci resolver diversi:

Regola PersistentKeepalive se sei su una configurazione NAT aggressiva. Il valore predefinito di 33 secondi mantiene la sessione UDP attraverso NAT — abbassarlo a 25 può aiutare su reti che interrompono rapidamente le sessioni UDP inattive:

Installa sul tuo router per una copertura su tutta la rete. AmneziaWG è supportato sui router Keenetic tramite AWG Manager e sui router ASUS che eseguono Asuswrt-Merlin tramite AmneziaWG per Merlin.

Fai un backup della tua configurazione ora, prima che qualcosa cambi:

Se hai mai bisogno di migrare a un nuovo server, esegui una nuova installazione e poi:

Il comando restore ripristina le tue configurazioni e chiavi, e regen aggiorna le configurazioni client con il nuovo IP del server.

Per una documentazione più approfondita, la documentazione ufficiale di Amnezia è su docs.amnezia.org e la comunità è attiva su Telegram.

Se stai cercando un VPS affidabile per ospitare il tuo server AmneziaWG — o hai bisogno di scalare con endpoint aggiuntivi per i membri del team — AvaHost fornisce virtualizzazione KVM con accesso root completo, storage NVMe e supporto per Ubuntu 24.04 che questo setup richiede. La loro infrastruttura è costruita appositamente per il tipo di distribuzioni auto-ospitate che questa guida copre.