WireGuard memenangkan perdebatan protokol modern dengan menjadi ramping, cepat, dan membosankan dalam arti terbaik. Tetapi ia tidak pernah dirancang untuk bersembunyi. Di jaringan yang memakai deep packet inspection untuk menemukan trafik VPN, WireGuard polos adalah salah satu protokol yang paling mudah dikenali — dan AmneziaWG adalah proyek yang bertekad memperbaiki persis hal itu, tanpa melepaskan hal-hal yang dilakukan WireGuard dengan baik.

Jawaban singkat: AmneziaWG adalah fork sumber terbuka dari WireGuard yang mempertahankan kriptografi dan kecepatannya tetapi menyamarkan handshake protokol yang mudah dikenali — dengan paket sampah, bantalan acak, dan byte header yang ditulis ulang — sehingga deep packet inspection tidak bisa mencocokkannya dengan sidik jari WireGuard. Terowongan yang sama di bawahnya, siluet yang berbeda di jaringan.

Poin penting

  • AmneziaWG adalah WireGuard ditambah satu lapisan penyamaran. Enkripsi, model kunci, dan performanya pada dasarnya tidak berubah.
  • WireGuard polos punya handshake tetap yang bisa disidik-jari — begitulah penyensor memblokirnya tanpa mendekripsi apa pun.
  • AmneziaWG merusak sidik jari itu: paket sampah sebelum handshake, bantalan acak padanya, dan nilai header yang diacak.
  • Ia bukan obat mujarab. Alamat server yang diblokir, larangan UDP, dan firewall berdaftar-izin tetap menghentikannya.
  • Di jaringan biasa ia tidak memberi Anda apa pun yang ekstra. Ia penting di jaringan yang secara aktif memburu protokol VPN.

Mengapa WireGuard polos mudah diblokir

Penyensor tidak perlu menembus enkripsi untuk memblokir VPN. Ia hanya perlu mengenali protokolnya, dan WireGuard membuat itu mudah karena handshake-nya terlihat sama setiap kali. Paket pertama dari setiap sesi WireGuard adalah pesan UDP berukuran tepat 148 byte, dan empat byte pertamanya adalah bidang tipe pesan yang selalu terbaca 1 diikuti tiga angka nol. Balasan server tepat 92 byte, tipe 2. Setiap implementasi, setiap koneksi, di mana saja.

Keteraturan itu luar biasa bagi para insinyur dan menyiksa bagi siapa pun yang berada di balik firewall nasional. Perangkat inspeksi mencocokkan polanya — ukuran tetap, byte tipe yang konstan, irama pertukarannya — dan menjatuhkan koneksi sebelum terowongan selesai dibangun. Segala sesuatu di dalamnya tetap terenkripsi; bagian luarnyalah yang membongkar rahasianya.

Ini bukan kelalaian. Proyek WireGuard mencantumkan penyamaran trafik sebagai non-tujuan yang eksplisit: protokolnya dimaksudkan untuk tetap minimal dan dapat diaudit, dan penyamaran diserahkan ke lapisan yang dibangun di atasnya. Selama bertahun-tahun itu meninggalkan celah, karena negara-negara yang menyaring paling keras — kami uraikan bagaimana Iran, Rusia, dan China memblokir VPN — menambahkan sidik jari WireGuard ke penyaring mereka sejak dini.

AmneziaWG adalah salah satu jawaban atas celah itu.

Apa yang diubah AmneziaWG

AmneziaWG berasal dari tim di balik Amnezia, sebuah perangkat sumber terbuka untuk VPN swakelola, dan cara termudah memahaminya adalah sebagai WireGuard yang mengenakan kostum. Fork ini menambahkan sekumpulan parameter konfigurasi yang membentuk ulang tampilan koneksi tepat pada saat-saat sistem inspeksi sedang mengawasi:

  • Paket sampah dulu (parameter Jc, Jmin, Jmax). Sebelum handshake yang sesungguhnya, klien mengirim ledakan paket acak tak bermakna dengan ukuran beragam. Percakapan tidak lagi dibuka dengan pesan 148 byte yang rapi.
  • Bantalan acak (S1, S2). Inisiasi dan respons handshake mendapat byte tambahan acak, sehingga ukuran paket berhenti cocok dengan sidik jari yang dikenal.
  • Header yang ditulis ulang (H1–H4). Empat nilai tipe pesan tetap yang menandai setiap paket WireGuard digantikan dengan nilai yang disepakati kedua ujung sebelumnya. Tanda khas 1, 2, 3, 4 tidak pernah muncul di jaringan.

Rilis yang lebih baru mendorong gagasannya lebih jauh. Versi 1.5 menambahkan paket pembuka yang dirancang khusus untuk meniru byte pertama protokol lain, dan jajaran 2.0 yang menyusul pada 2026 melanjutkan ke arah itu — tujuannya bergeser dari "jangan terlihat seperti WireGuard" menjadi "terlihat seperti sesuatu yang tidak berbahaya."

Dua hal penting dalam praktik. Kedua ujung harus berbagi nilai parameter yang sama: ini kostum terkoordinasi, dibawa dalam berkas konfigurasi, bukan sesuatu yang diimprovisasi klien. Dan dengan setiap parameter penyamaran disetel ke nol, AmneziaWG berbicara WireGuard polos — yang menunjukkan kepada Anda betapa tipis dan presisinya lapisan yang ditambahkan itu sesungguhnya.

Apa yang tetap sama

Di balik kostumnya, protokolnya tidak tersentuh. Matematika handshake, sandi modern, pertukaran kunci — semuanya diwarisi langsung dari WireGuard alih-alih diciptakan ulang. Itu keputusan yang tepat: penyamaran baru murah untuk salah dan diperbaiki, sementara kriptografi baru bencana jika salah. Fork yang hanya mengubah pembungkusnya mempertahankan inti WireGuard yang kecil dan sudah ditinjau secara saksama.

Performanya pun bertahan. Paket sampah menambah sedikit data ekstra ketika koneksi dimulai, dan setelah itu terowongan memindahkan trafik dengan cara WireGuard. Jika Anda peduli bagaimana protokol-protokol utama dibandingkan dalam kecepatan dan baterai, kami sudah melakukan perbandingan itu di WireGuard vs OpenVPN vs IKEv2 — dan AmneziaWG duduk di kolom WireGuard, bukan bersama pilihan yang lebih tua dan lebih berat.

Di mana AmneziaWG tetap kalah

Penyamaran menaikkan biaya untuk memblokir Anda. Ia tidak membuat pemblokiran mustahil, dan perbandingan yang jujur harus menyebut di mana kostum itu tidak membantu:

  • Alamat yang diblokir. Jika penyensor sudah memasukkan IP server Anda ke daftar hitam, tidak penting bagaimana tampilan paket Anda. Penyamaran mengalahkan penyaring protokol, bukan daftar alamat.
  • Larangan dan pelambatan UDP. Beberapa jaringan menjatuhkan atau mencekik trafik UDP asing secara menyeluruh. AmneziaWG tetaplah UDP; di jaringan itu, terowongan yang berdandan sebagai trafik web biasa lewat TCP mengambil alih.
  • Firewall berdaftar-izin. Jaringan paling ketat membalik logikanya: hanya protokol yang dikenali yang lolos. Di sana, trafik yang terlihat seperti ketiadaan justru mencurigakan, dan aliran berentropi tinggi yang tak terkenali dijatuhkan atas dasar prinsip. Terlihat seperti derau membantu melawan daftar blokir dan merugikan melawan daftar izin.
  • Perlombaan senjata. Penyensor juga mengukur pengaturan waktu aliran, pola ukuran paket dari waktu ke waktu, dan bagaimana server yang dicurigai merespons saat dicolek. Setiap skema penyamaran adalah sasaran yang bergerak, itulah sebabnya proyek-proyek yang serius terus merilis versi baru.

Pembingkaian yang realistis: AmneziaWG membuat Anda mahal untuk diblokir di jaringan yang menyaring berdasarkan sidik jari protokol. Di tempat pemblokiran bekerja lewat alamat, lewat transportasi, atau lewat daftar izin, Anda butuh langkah berbeda — kami memetakan seluruh lanskap itu di bagaimana VPN melewati sensor.

Apakah Anda benar-benar butuh obfuscation VPN?

Sebuah pertanyaan yang layak diajukan sebelum meraih VPN tersamar apa pun: apakah masalah Anda memang pemblokiran protokol? Pada koneksi rumah di sebagian besar negara, WireGuard polos tersambung baik-baik saja, dan penyamaran menambah komponen bergerak tanpa menambah privasi — enkripsinya sama saja. Ujinya sederhana dan jujur: jika VPN standar tersambung andal di jaringan Anda, Anda tidak butuh kostum itu.

Penyamaran membuktikan gunanya dalam situasi tertentu: firewall nasional yang menyidik-jari protokol VPN, ISP yang melambatkan trafik VPN yang dikenali, dan beberapa jaringan perusahaan, kampus, atau hotel yang memblokir terowongan sebagai kebijakan. Jika salah satunya menggambarkan pekan Anda, sisa perbandingan ini untuk Anda. Jika tidak, pilihan protokol — yang dibahas dalam perbandingan utama kami — lebih penting daripada penyamaran.

AmneziaWG di iPhone

Ada aplikasi AmneziaWG resmi, termasuk klien iOS. Jika Anda menyewa server dan menyiapkannya dengan perkakas Amnezia, Anda bisa mengimpor konfigurasi yang membawa parameter penyamaran dan selesai. Bagi orang yang nyaman mengelola server dan menjaga parameter tetap selaras, ini jalur yang benar-benar baik — dan perbandingan Shadowsocks vs VPN kami membahas alternatif berbentuk proksi dengan semangat swakelola yang sama.

Sebagian besar orang tidak ingin menjalankan infrastruktur untuk membaca internet, dan memang tidak seharusnya. Alternatif praktisnya adalah VPN yang aplikasinya menerapkan penyamaran untuk Anda, dengan kedua ujung dikelola oleh penyedia yang sama.

Snap VPN dibangun seperti itu. Terowongannya sendiri adalah WireGuard, dan di atasnya kami menerapkan teknik penyamaran kami sendiri, membentuk koneksi agar tidak menampilkan sidik jari VPN yang khas kepada sistem inspeksi. Kami sengaja menjaga detail tingkat-jaringan tetap di luar dokumentasi kami — penyamaran yang dipublikasikan adalah yang pertama ditambahkan ke penyaring — tetapi prinsipnya sama dengan yang dibuktikan AmneziaWG: pertahankan rekayasa WireGuard, ubah apa yang dilihat jaringan. Tidak ada yang perlu dikonfigurasi dan tidak ada akun yang harus dibuat.

Pertanyaan yang sering diajukan

Apakah AmneziaWG sama dengan WireGuard? Ia adalah fork. Kriptografi dan perilaku terowongannya milik WireGuard; yang berubah adalah bagaimana paket terlihat di jaringan — paket sampah, bantalan, dan header yang diacak menggantikan sidik jari yang mudah dikenali. Dengan parameter-parameter itu disetel nol, ia berperilaku seperti WireGuard standar.

Apakah AmneziaWG lebih lambat daripada WireGuard? Tidak secara berarti. Penyamaran menambah sedikit data saat penyiapan koneksi, dan kecepatan keadaan-tunaknya sejalan dengan WireGuard polos — enkripsi yang melakukan pekerjaan sesungguhnya identik.

Bisakah DPI tetap mendeteksi AmneziaWG? Ia bisa mencoba, dan kadang berhasil. Penyamaran menghilangkan pencocokan sidik jari yang mudah, tetapi penyensor masih bisa memblokir alamat server, melambatkan UDP, atau menandai trafik yang sama sekali tidak bisa diklasifikasikannya. Perlakukan ia sebagai langkah kuat dalam perlombaan senjata yang berlangsung terus, bukan kekebalan.

Apakah AmneziaWG bekerja di iPhone? Ya — ada aplikasi iOS resmi, dan parameter penyamaran konfigurasi Anda harus persis cocok dengan milik server. Jika Anda lebih suka tidak mengelolanya sendiri, alternatifnya adalah aplikasi VPN dengan penyamaran bawaan.

Kesimpulan

  • WireGuard mudah diblokir karena handshake-nya terlihat identik di mana saja; enkripsi menyembunyikan isinya, bukan garis besar protokolnya.
  • AmneziaWG mempertahankan kriptografi dan kecepatan WireGuard, dan mengacak persis bagian-bagian yang dicocokkan sistem inspeksi.
  • Ia menang melawan penyaring protokol; ia tidak mengalahkan daftar blokir IP, larangan UDP, atau firewall berdaftar-izin.
  • Swakelola di iPhone bekerja lewat aplikasi resmi. Jalur tanpa banyak upaya adalah VPN yang menyertakan penyamaran sebagai bagian dari produk.

Jika Anda ingin kecepatan WireGuard dengan penyamaran yang sudah ditangani — tanpa server untuk disewa, tanpa parameter untuk diselaraskan, tanpa akun dan tanpa log trafik — Snap VPN tersedia di App Store.