WireGuard ha vinto la discussione sui protocolli moderni essendo piccolo, veloce e noioso nel migliore dei modi. Ma non è mai stato progettato per nascondersi. Sulle reti che usano la deep packet inspection per individuare il traffico VPN, WireGuard puro è uno dei protocolli più facili da riconoscere — e AmneziaWG è il progetto nato per risolvere esattamente questo, senza rinunciare alle cose che WireGuard fa bene.

Risposta breve: AmneziaWG è un fork open-source di WireGuard che conserva la crittografia e la velocità ma traveste l'handshake riconoscibile del protocollo — con pacchetti spazzatura, padding casuale e byte di intestazione riscritti — così la deep packet inspection non può abbinarlo a una firma WireGuard. Lo stesso tunnel sotto, una silhouette diversa sul filo.

Punti chiave

  • AmneziaWG è WireGuard più uno strato di offuscamento. La crittografia, il modello delle chiavi e le prestazioni restano sostanzialmente invariati.
  • WireGuard puro ha un handshake fisso e identificabile tramite impronta — è così che chi censura lo blocca senza decifrare nulla.
  • AmneziaWG spezza l'impronta: pacchetti spazzatura prima dell'handshake, padding casuale su di esso e valori di intestazione randomizzati.
  • Non è una panacea. Indirizzi dei server bloccati, divieti di UDP e firewall a lista di consentiti lo fermano comunque.
  • Su una rete ordinaria non ti dà nulla in più. Conta sulle reti che danno attivamente la caccia ai protocolli VPN.

Perché WireGuard puro è facile da bloccare

Chi censura non ha bisogno di rompere la crittografia per bloccare una VPN. Gli basta riconoscere il protocollo, e WireGuard lo rende facile perché il suo handshake appare uguale ogni volta. Il primo pacchetto di ogni sessione WireGuard è un messaggio UDP di esattamente 148 byte, e i suoi primi quattro byte sono un campo di tipo del messaggio che indica sempre 1 seguito da tre zeri. La risposta del server è di esattamente 92 byte, tipo 2. Ogni implementazione, ogni connessione, ovunque.

Quella regolarità è meravigliosa per gli ingegneri e penosa per chiunque si trovi dietro un firewall nazionale. L'hardware di ispezione fa pattern matching sulla forma — le dimensioni fisse, i byte di tipo costanti, il ritmo dello scambio — e scarta la connessione prima che il tunnel finisca di stabilirsi. Tutto ciò che sta dentro resta cifrato; è l'esterno a tradire il gioco.

Non è una svista. Il progetto WireGuard elenca l'offuscamento del traffico come un esplicito non-obiettivo: il protocollo è pensato per restare minimale e verificabile, e il travestimento è lasciato agli strati costruiti sopra. Per anni questo ha lasciato un vuoto, perché i paesi che filtrano più duramente — ripercorriamo come Iran, Russia e Cina bloccano le VPN — hanno aggiunto presto la firma di WireGuard ai loro filtri.

AmneziaWG è una risposta a quel vuoto.

Cosa cambia AmneziaWG

AmneziaWG viene dal team dietro Amnezia, un toolkit open-source per VPN auto-ospitate, e il modo più semplice per capirlo è vederlo come WireGuard che indossa un costume. Il fork aggiunge una serie di parametri di configurazione che rimodellano l'aspetto della connessione esattamente nei momenti in cui i sistemi di ispezione stanno guardando:

  • Pacchetti spazzatura per primi (i parametri Jc, Jmin, Jmax). Prima dell'handshake vero, il client invia una raffica di pacchetti casuali senza significato e di dimensioni variabili. La conversazione non si apre più con un ordinato messaggio di 148 byte.
  • Padding casuale (S1, S2). L'avvio e la risposta dell'handshake ricevono byte extra casuali in coda, così le dimensioni dei pacchetti smettono di coincidere con la firma nota.
  • Intestazioni riscritte (H1–H4). I quattro valori fissi di tipo del messaggio che etichettano ogni pacchetto WireGuard vengono sostituiti con valori su cui i due capi si accordano in anticipo. I rivelatori 1, 2, 3, 4 non compaiono mai sul filo.

Le versioni più recenti spingono l'idea oltre. La versione 1.5 ha aggiunto pacchetti di apertura appositamente costruiti che imitano i primi byte di altri protocolli, e la linea 2.0 che è seguita nel 2026 prosegue in quella direzione — l'obiettivo si sposta da "non sembrare WireGuard" a "sembrare qualcosa di innocuo".

Due dettagli contano nella pratica. I due capi devono condividere gli stessi valori dei parametri: è un costume coordinato, trasportato nel file di configurazione, non qualcosa che un client improvvisa. E con ogni parametro di offuscamento impostato a zero, AmneziaWG parla WireGuard puro — il che ti dice quanto sottile e chirurgico sia davvero lo strato aggiunto.

Cosa resta uguale

Sotto il costume, il protocollo è intatto. La matematica dell'handshake, i cifrari moderni, lo scambio delle chiavi — tutto ereditato direttamente da WireGuard anziché reinventato. È la scelta giusta: un nuovo offuscamento costa poco da sbagliare e correggere, mentre una nuova crittografia è catastrofica da sbagliare. Un fork che cambia solo l'involucro conserva il nucleo di WireGuard, piccolo e ampiamente revisionato.

Anche le prestazioni reggono. I pacchetti spazzatura aggiungono un po' di dati extra all'avvio della connessione, e da lì in poi il tunnel muove il traffico nel modo in cui lo fa WireGuard. Se ti interessa come si confrontano i protocolli principali su velocità e batteria, abbiamo fatto quel confronto in WireGuard vs OpenVPN vs IKEv2 — e AmneziaWG sta nella colonna di WireGuard, non con le opzioni più vecchie e pesanti.

Dove AmneziaWG perde comunque

L'offuscamento alza il costo di bloccarti. Non rende il blocco impossibile, e un confronto onesto deve dire dove il costume non aiuta:

  • Indirizzi bloccati. Se chi censura ha già messo in lista nera l'IP del tuo server, non importa che aspetto abbiano i tuoi pacchetti. Il travestimento batte i filtri di protocollo, non le liste di indirizzi.
  • Divieti e throttling di UDP. Alcune reti scartano o strozzano in blocco il traffico UDP non familiare. AmneziaWG è comunque UDP; su quelle reti, prendono il sopravvento i tunnel che si vestono da normale traffico web su TCP.
  • Firewall a lista di consentiti. Le reti più severe ribaltano la logica: passano solo i protocolli riconosciuti. Lì, il traffico che non sembra nulla è di per sé sospetto, e i flussi ad alta entropia non riconoscibili vengono scartati per principio. Sembrare rumore aiuta contro una lista di blocco e danneggia contro una lista di consentiti.
  • La corsa agli armamenti. Chi censura misura anche la tempistica dei flussi, i modelli di dimensione dei pacchetti nel tempo e come risponde un server sospetto quando viene sollecitato. Ogni schema di offuscamento è un bersaglio in movimento, ed è per questo che i progetti seri continuano a rilasciare nuove versioni.

L'inquadramento realistico: AmneziaWG ti rende costoso da bloccare sulle reti che filtrano per firma di protocollo. Dove il blocco funziona per indirizzo, per trasporto o per lista di consentiti, ti servono mosse diverse — mappiamo tutto questo panorama in come una VPN aggira la censura.

Ti serve davvero l'offuscamento VPN?

Una domanda che vale la pena porsi prima di ricorrere a una qualsiasi VPN offuscata: il tuo problema è davvero il blocco del protocollo? Su una connessione domestica nella maggior parte dei paesi, WireGuard puro si connette senza problemi, e l'offuscamento aggiunge parti in movimento senza aggiungere privacy — la crittografia è la stessa in entrambi i casi. Il test onesto è semplice: se una VPN standard si connette in modo affidabile sulla tua rete, il costume non ti serve.

L'offuscamento si guadagna il pane in situazioni specifiche: firewall nazionali che identificano tramite impronta i protocolli VPN, provider che limitano il traffico VPN riconosciuto e alcune reti aziendali, universitarie o di hotel che bloccano i tunnel per politica. Se una di queste descrive la tua settimana, il resto di questo confronto è per te. In caso contrario, la scelta del protocollo — trattata nel nostro confronto principale — conta più del travestimento.

AmneziaWG su iPhone

Esistono app ufficiali di AmneziaWG, incluso un client iOS. Se affitti un server e lo configuri con gli strumenti di Amnezia, puoi importare una configurazione che porta con sé i parametri di offuscamento e il gioco è fatto. Per chi è a proprio agio nel gestire un server e nel tenere i parametri sincronizzati, è una strada davvero buona — e il nostro confronto Shadowsocks vs VPN copre le alternative in forma di proxy nello stesso spirito di auto-ospitalità.

La maggior parte delle persone non vuole gestire un'infrastruttura per leggere internet, e non dovrebbe doverlo fare. L'alternativa pratica è una VPN la cui app applichi l'offuscamento al posto tuo, con entrambi i capi gestiti dallo stesso fornitore.

Snap VPN è costruita così. Il tunnel in sé è WireGuard, e sopra di esso applichiamo tecniche di offuscamento nostre, dando forma alla connessione così che non presenti una firma VPN da manuale ai sistemi di ispezione. Teniamo deliberatamente i dettagli a livello di filo fuori dalla nostra documentazione — i travestimenti pubblicati sono i primi a essere aggiunti ai filtri — ma il principio è quello che AmneziaWG dimostra: conserva l'ingegneria di WireGuard, cambia ciò che la rete vede. Non c'è nulla da configurare e nessun account da creare.

Domande frequenti

AmneziaWG è lo stesso di WireGuard? È un fork. La crittografia e il comportamento del tunnel sono quelli di WireGuard; ciò che cambia è l'aspetto dei pacchetti sul filo — pacchetti spazzatura, padding e intestazioni randomizzate sostituiscono la firma riconoscibile. Con quei parametri azzerati, si comporta come WireGuard standard.

AmneziaWG è più lento di WireGuard? Non in modo significativo. L'offuscamento aggiunge una piccola quantità di dati all'avvio della connessione, e la velocità a regime è in linea con WireGuard puro — la crittografia che fa il lavoro vero è identica.

La DPI può comunque rilevare AmneziaWG? Può provarci, e a volte ci riesce. L'offuscamento elimina l'abbinamento facile della firma, ma chi censura può ancora bloccare gli indirizzi dei server, limitare l'UDP o segnalare il traffico che non riesce affatto a classificare. Trattalo come una mossa forte in una corsa agli armamenti in corso, non come un'immunità.

AmneziaWG funziona su iPhone? Sì — esiste un'app iOS ufficiale, e i parametri di offuscamento della tua configurazione devono coincidere esattamente con quelli del server. Se preferisci non gestirlo da solo, l'alternativa è un'app VPN con l'offuscamento integrato.

In conclusione

  • WireGuard è facile da bloccare perché il suo handshake appare identico ovunque; la crittografia nasconde il contenuto, non il profilo del protocollo.
  • AmneziaWG conserva la crittografia e la velocità di WireGuard, e randomizza esattamente le parti su cui i sistemi di ispezione fanno l'abbinamento.
  • Vince contro i filtri di protocollo; non batte le liste di blocco IP, i divieti di UDP o i firewall a lista di consentiti.
  • Auto-ospitarlo su iPhone funziona tramite l'app ufficiale. La strada a basso sforzo è una VPN che offre l'offuscamento come parte del prodotto.

Se vuoi la velocità di WireGuard con l'offuscamento già gestito — nessun server da affittare, nessun parametro da sincronizzare, nessun account e nessun log del traffico — Snap VPN è sull'App Store.