WireGuard wygrał spór o nowoczesny protokół, będąc małym, szybkim i nudnym w najlepszym tego słowa znaczeniu. Ale nigdy nie był zaprojektowany, by się ukrywać. W sieciach, które używają głębokiej inspekcji pakietów do wyszukiwania ruchu VPN, zwykły WireGuard jest jednym z najłatwiejszych do rozpoznania protokołów — a AmneziaWG to projekt, który postawił sobie za cel naprawić dokładnie to, nie rezygnując z tego, co WireGuard robi dobrze.

Krótka odpowiedź: AmneziaWG to otwartoźródłowy fork WireGuard, który zachowuje kryptografię i szybkość, ale maskuje rozpoznawalne uzgadnianie protokołu — pakietami-śmieciami, losowym dopełnieniem i przepisanymi bajtami nagłówka — tak by głęboka inspekcja pakietów nie mogła dopasować go do sygnatury WireGuard. Pod spodem ten sam tunel, na łączu inna sylwetka.

Najważniejsze wnioski

  • AmneziaWG to WireGuard plus warstwa zaciemniania. Szyfrowanie, model kluczy i wydajność są zasadniczo niezmienione.
  • Zwykły WireGuard ma stałe, rozpoznawalne odciskiem palca uzgadnianie — tak właśnie cenzorzy blokują go, niczego nie odszyfrowując.
  • AmneziaWG łamie ten odcisk palca: pakiety-śmieci przed uzgadnianiem, losowe dopełnienie na nim i zrandomizowane wartości nagłówka.
  • To nie jest panaceum. Zablokowane adresy serwerów, zakazy UDP i zapory z listą dozwolonych zatrzymują go mimo wszystko.
  • W zwykłej sieci nic Ci to dodatkowo nie daje. Liczy się w sieciach, które aktywnie polują na protokoły VPN.

Dlaczego zwykły WireGuard łatwo zablokować

Cenzor nie musi łamać szyfrowania, by zablokować VPN. Musi tylko rozpoznać protokół, a WireGuard to ułatwia, bo jego uzgadnianie za każdym razem wygląda tak samo. Pierwszy pakiet każdej sesji WireGuard to komunikat UDP o dokładnie 148 bajtach, a jego pierwsze cztery bajty to pole typu komunikatu, które zawsze odczytuje się jako 1, po którym następują trzy zera. Odpowiedź serwera ma dokładnie 92 bajty, typ 2. W każdej implementacji, każdym połączeniu, wszędzie.

Ta regularność jest cudowna dla inżynierów i opłakana dla każdego za krajową zaporą ogniową. Sprzęt inspekcyjny dopasowuje wzorzec do kształtu — stałych rozmiarów, niezmiennych bajtów typu, rytmu wymiany — i odrzuca połączenie, zanim tunel skończy się ustanawiać. Wszystko w środku pozostaje zaszyfrowane; to, co na zewnątrz, zdradza grę.

To nie jest przeoczenie. Projekt WireGuard wymienia zaciemnianie ruchu jako jawny cel, którego celowo nie realizuje: protokół ma pozostać minimalny i audytowalny, a przebranie zostawia się warstwom budowanym ponad nim. Przez lata tworzyło to lukę, bo kraje, które filtrują najmocniej — przeprowadzamy przez to w artykule jak Iran, Rosja i Chiny blokują VPN-y — wcześnie dodały sygnaturę WireGuard do swoich filtrów.

AmneziaWG to jedna z odpowiedzi na tę lukę.

Co zmienia AmneziaWG

AmneziaWG pochodzi od zespołu stojącego za Amnezią, otwartoźródłowym zestawem narzędzi do samodzielnie hostowanych VPN-ów, a najłatwiej zrozumieć go jako WireGuard w przebraniu. Fork dodaje zestaw parametrów konfiguracyjnych, które przekształcają to, jak wygląda połączenie dokładnie w momentach, gdy obserwują systemy inspekcyjne:

  • Najpierw pakiety-śmieci (parametry Jc, Jmin, Jmax). Przed prawdziwym uzgadnianiem klient wysyła serię bezsensownych losowych pakietów o różnych rozmiarach. Rozmowa nie zaczyna się już schludnym komunikatem o 148 bajtach.
  • Losowe dopełnienie (S1, S2). Do inicjacji i odpowiedzi uzgadniania doklejane są losowe dodatkowe bajty, więc rozmiary pakietów przestają pasować do znanej sygnatury.
  • Przepisane nagłówki (H1–H4). Cztery stałe wartości typu komunikatu, które oznaczają każdy pakiet WireGuard, zostają zastąpione wartościami uzgodnionymi wcześniej przez oba końce. Zdradzieckie 1, 2, 3, 4 nigdy nie pojawia się na łączu.

Nowsze wydania idą z tym pomysłem dalej. Wersja 1.5 dodała specjalnie spreparowane pakiety otwierające, które imitują pierwsze bajty innych protokołów, a linia 2.0, która nastąpiła po niej w 2026, kontynuuje w tym kierunku — cel przesuwa się z „nie wyglądaj jak WireGuard” na „wyglądaj jak coś nieszkodliwego”.

W praktyce liczą się dwa szczegóły. Oba końce muszą współdzielić te same wartości parametrów: to skoordynowane przebranie niesione w pliku konfiguracyjnym, a nie coś, co klient improwizuje. A z każdym parametrem zaciemniania ustawionym na zero AmneziaWG mówi czystym WireGuardem — co pokazuje, jak cienka i chirurgiczna jest naprawdę ta dodana warstwa.

Co pozostaje takie samo

Pod przebraniem protokół jest nietknięty. Matematyka uzgadniania, nowoczesne szyfry, wymiana kluczy — wszystko odziedziczone wprost po WireGuard, a nie wymyślone na nowo. To słuszny wybór: nowe zaciemnianie tanio popsuć i naprawić, podczas gdy nowa kryptografia jest katastrofalna, gdy się ją popsuje. Fork, który zmienia tylko opakowanie, zachowuje mały, intensywnie przejrzany rdzeń WireGuard.

Wydajność też się trzyma. Pakiety-śmieci dodają trochę dodatkowych danych przy starcie połączenia, a potem tunel przenosi ruch tak, jak robi to WireGuard. Jeśli zależy Ci na tym, jak główne protokoły wypadają pod względem szybkości i baterii, zrobiliśmy to porównanie w WireGuard kontra OpenVPN kontra IKEv2 — a AmneziaWG siedzi w kolumnie WireGuard, nie ze starszymi, cięższymi opcjami.

Gdzie AmneziaWG wciąż przegrywa

Zaciemnianie podnosi koszt zablokowania Cię. Nie czyni blokowania niemożliwym, a uczciwe porównanie musi powiedzieć, gdzie przebranie nie pomaga:

  • Zablokowane adresy. Jeśli cenzor już dodał IP Twojego serwera do czarnej listy, nie ma znaczenia, jak wyglądają Twoje pakiety. Przebranie pokonuje filtry protokołów, a nie listy adresów.
  • Zakazy i spowalnianie UDP. Niektóre sieci hurtowo odrzucają lub dławią nieznany ruch UDP. AmneziaWG to wciąż UDP; w takich sieciach przejmują pałeczkę tunele, które stroją się na zwykły ruch sieciowy po TCP.
  • Zapory z listą dozwolonych. Najsurowsze sieci odwracają logikę: przechodzą tylko rozpoznane protokoły. Tam ruch, który wygląda jak nic, sam w sobie jest podejrzany, a nierozpoznawalne przepływy o wysokiej entropii zostają odrzucone z zasady. Wyglądanie jak szum pomaga wobec listy blokad i szkodzi wobec listy dozwolonych.
  • Wyścig zbrojeń. Cenzorzy mierzą też czasy przepływu, wzorce rozmiarów pakietów w czasie i to, jak podejrzany serwer reaguje, gdy się go zaczepia. Każdy schemat zaciemniania to ruchomy cel, dlatego poważne projekty wciąż wydają nowe wersje.

Realistyczne ujęcie: AmneziaWG sprawia, że jesteś kosztowny do zablokowania w sieciach, które filtrują po sygnaturze protokołu. Tam, gdzie blokowanie działa po adresie, po transporcie albo przez listę dozwolonych, potrzebujesz innych ruchów — mapujemy cały ten krajobraz w artykule jak VPN omija cenzurę.

Czy naprawdę potrzebujesz zaciemniania VPN?

Pytanie warte zadania, zanim sięgniesz po jakikolwiek zaciemniony VPN: czy Twoim problemem jest faktycznie blokowanie protokołu? Na połączeniu domowym w większości krajów zwykły WireGuard łączy się bez problemu, a zaciemnianie dodaje ruchome części, nie dodając prywatności — szyfrowanie jest tak czy inaczej takie samo. Uczciwy test jest prosty: jeśli standardowy VPN łączy się niezawodnie w Twojej sieci, nie potrzebujesz przebrania.

Zaciemnianie zarabia na siebie w konkretnych sytuacjach: krajowe zapory ogniowe, które biorą odcisk palca protokołów VPN, dostawcy internetu spowalniający rozpoznany ruch VPN oraz niektóre sieci firmowe, kampusowe czy hotelowe, które blokują tunele z zasady. Jeśli któreś z tych opisuje Twój tydzień, reszta tego porównania jest dla Ciebie. Jeśli nie, wybór protokołu — omówiony w naszym głównym porównaniu — liczy się bardziej niż przebranie.

AmneziaWG na iPhone

Istnieją oficjalne aplikacje AmneziaWG, w tym klient na iOS. Jeśli wynajmiesz serwer i skonfigurujesz go narzędziami Amnezii, możesz zaimportować konfigurację niosącą parametry zaciemniania i mieć to z głowy. Dla osób, którym wygodnie zarządzać serwerem i utrzymywać parametry w synchronizacji, to naprawdę dobra droga — a nasze porównanie Shadowsocks kontra VPN obejmuje alternatywy w kształcie proxy w tym samym duchu samodzielnego hostowania.

Większość ludzi nie chce prowadzić infrastruktury, by czytać internet, i nie powinna musieć. Praktyczną alternatywą jest VPN, którego aplikacja stosuje zaciemnianie za Ciebie, z oboma końcami zarządzanymi przez tego samego dostawcę.

Snap VPN jest zbudowany w ten sposób. Sam tunel to WireGuard, a na nim stosujemy własne techniki zaciemniania, kształtując połączenie tak, by nie prezentowało systemom inspekcyjnym podręcznikowej sygnatury VPN. Celowo trzymamy szczegóły na poziomie łącza poza naszą dokumentacją — opublikowane przebrania są pierwszymi dodawanymi do filtrów — ale zasada jest ta, którą udowadnia AmneziaWG: zachowaj inżynierię WireGuard, zmień to, co widzi sieć. Nie ma niczego do skonfigurowania ani konta do założenia.

Najczęściej zadawane pytania

Czy AmneziaWG to to samo co WireGuard? To fork. Kryptografia i zachowanie tunelu są WireGuardowe; zmienia się to, jak pakiety wyglądają na łączu — pakiety-śmieci, dopełnienie i zrandomizowane nagłówki zastępują rozpoznawalną sygnaturę. Z tymi parametrami wyzerowanymi zachowuje się jak standardowy WireGuard.

Czy AmneziaWG jest wolniejszy niż WireGuard? Nie w istotny sposób. Zaciemnianie dodaje niewielką ilość danych przy ustanawianiu połączenia, a szybkość w stanie ustalonym jest zgodna ze zwykłym WireGuardem — szyfrowanie wykonujące właściwą pracę jest identyczne.

Czy DPI nadal potrafi wykryć AmneziaWG? Może próbować i czasem mu się udaje. Zaciemnianie usuwa łatwe dopasowanie sygnatury, ale cenzorzy wciąż mogą blokować adresy serwerów, spowalniać UDP albo oznaczać ruch, którego nie potrafią w ogóle sklasyfikować. Traktuj to jako mocny ruch w trwającym wyścigu zbrojeń, a nie odporność.

Czy AmneziaWG działa na iPhone? Tak — istnieje oficjalna aplikacja na iOS, a parametry zaciemniania Twojej konfiguracji muszą dokładnie pasować do serwera. Jeśli wolisz nie zarządzać tym samodzielnie, alternatywą jest aplikacja VPN z wbudowanym zaciemnianiem.

Podsumowanie

  • WireGuard łatwo zablokować, bo jego uzgadnianie wszędzie wygląda identycznie; szyfrowanie ukrywa zawartość, a nie zarys protokołu.
  • AmneziaWG zachowuje kryptografię i szybkość WireGuard, a randomizuje dokładnie te części, na które dopasowują się systemy inspekcyjne.
  • Wygrywa wobec filtrów protokołów; nie pokonuje list blokad IP, zakazów UDP ani zapór z listą dozwolonych.
  • Samodzielne hostowanie go na iPhone działa przez oficjalną aplikację. Drogą małego wysiłku jest VPN, który dostarcza zaciemnianie jako część produktu.

Jeśli chcesz szybkości WireGuard z już załatwionym zaciemnianiem — bez serwera do wynajęcia, bez parametrów do synchronizowania, bez konta i bez logów ruchu — Snap VPN jest w App Store.