WireGuard выиграл спор о современных протоколах тем, что он маленький, быстрый и скучный в самом хорошем смысле. Но он никогда не создавался для того, чтобы прятаться. В сетях, где для поиска VPN-трафика применяют глубокую инспекцию пакетов, обычный WireGuard — один из самых легко распознаваемых протоколов, и AmneziaWG — это проект, который взялся исправить именно это, не отказываясь от того, что WireGuard делает хорошо.

Коротко: AmneziaWG — это форк WireGuard с открытым исходным кодом, который сохраняет криптографию и скорость, но маскирует узнаваемое рукопожатие протокола — мусорными пакетами, случайным дополнением и переписанными байтами заголовков, — так что глубокая инспекция пакетов не может сопоставить его с сигнатурой WireGuard. Под капотом тот же туннель, но иной силуэт на проводе.

Главное

  • AmneziaWG — это WireGuard плюс слой обфускации. Шифрование, модель ключей и производительность по сути не меняются.
  • У обычного WireGuard фиксированное, распознаваемое по отпечатку рукопожатие — именно так цензоры блокируют его, ничего не расшифровывая.
  • AmneziaWG ломает отпечаток: мусорные пакеты перед рукопожатием, случайное дополнение к нему и рандомизированные значения заголовков.
  • Это не панацея. Заблокированные адреса серверов, запреты UDP и файрволы с белыми списками останавливают его всё равно.
  • В обычной сети он не даёт вам ничего сверх. Он важен в сетях, которые активно охотятся за VPN-протоколами.

Почему обычный WireGuard легко заблокировать

Цензору не нужно взламывать шифрование, чтобы заблокировать VPN. Ему достаточно распознать протокол, а WireGuard облегчает эту задачу, потому что его рукопожатие выглядит одинаково каждый раз. Первый пакет любой сессии WireGuard — это UDP-сообщение ровно из 148 байт, и его первые четыре байта — это поле типа сообщения, которое всегда читается как 1, за которым следуют три нуля. Ответ сервера — ровно 92 байта, тип 2. В любой реализации, в любом соединении, где угодно.

Эта регулярность прекрасна для инженеров и мучительна для всякого, кто сидит за национальным файрволом. Оборудование инспекции сопоставляет с шаблоном форму — фиксированные размеры, постоянные байты типа, ритм обмена — и сбрасывает соединение ещё до того, как туннель завершит установку. Всё внутри остаётся зашифрованным; снаружи же всё себя выдаёт.

Это не недосмотр. Проект WireGuard прямо указывает обфускацию трафика как осознанно не поставленную цель: протокол должен оставаться минимальным и поддающимся аудиту, а маскировка отдана слоям, построенным поверх. Долгие годы это оставляло пробел, потому что страны, которые фильтруют жёстче всех — мы разбираем, как Иран, Россия и Китай блокируют VPN, — рано добавили сигнатуру WireGuard в свои фильтры.

AmneziaWG — один из ответов на этот пробел.

Что меняет AmneziaWG

AmneziaWG создан командой, стоящей за Amnezia — набором инструментов с открытым исходным кодом для самостоятельно размещаемых VPN, — и проще всего понять его как WireGuard в костюме. Форк добавляет набор параметров конфигурации, которые меняют то, как выглядит соединение ровно в те моменты, когда за ним наблюдают системы инспекции:

  • Сначала мусорные пакеты (параметры Jc, Jmin, Jmax). Перед настоящим рукопожатием клиент отправляет серию бессмысленных случайных пакетов разного размера. Разговор больше не открывается аккуратным сообщением в 148 байт.
  • Случайное дополнение (S1, S2). К инициации рукопожатия и ответу прикрепляются случайные лишние байты, так что размеры пакетов перестают совпадать с известной сигнатурой.
  • Переписанные заголовки (H1–H4). Четыре фиксированных значения типа сообщения, которыми помечается каждый пакет WireGuard, заменяются значениями, о которых обе стороны договариваются заранее. Выдающие себя 1, 2, 3, 4 на проводе так и не появляются.

Более новые релизы развивают идею дальше. Версия 1.5 добавила специально сконструированные открывающие пакеты, имитирующие первые байты других протоколов, а линейка 2.0, последовавшая за ней в 2026 году, продолжает в том же направлении — цель смещается от «не выглядеть как WireGuard» к «выглядеть как что-то безобидное».

На практике важны две детали. Обе стороны должны использовать одни и те же значения параметров: это согласованный костюм, переносимый в файле конфигурации, а не то, что клиент импровизирует. И при всех параметрах обфускации, выставленных в ноль, AmneziaWG говорит на обычном WireGuard — что показывает, насколько тонок и хирургически точен добавленный слой.

Что остаётся прежним

Под костюмом протокол нетронут. Математика рукопожатия, современные шифры, обмен ключами — всё унаследовано напрямую от WireGuard, а не изобретено заново. Это верное решение: новую обфускацию дёшево испортить и поправить, а новую криптографию испортить — катастрофа. Форк, который меняет только обёртку, сохраняет маленькое, тщательно проверенное ядро WireGuard.

Производительность тоже держится. Мусорные пакеты добавляют немного лишних данных в момент установки соединения, а дальше туннель гоняет трафик так же, как WireGuard. Если вам важно, как основные протоколы соотносятся по скорости и расходу батареи, мы сделали это сравнение в материале WireGuard против OpenVPN против IKEv2 — и AmneziaWG стоит в колонке WireGuard, а не рядом со старыми, более тяжёлыми вариантами.

Где AmneziaWG всё равно проигрывает

Обфускация повышает цену вашей блокировки. Она не делает блокировку невозможной, и честное сравнение обязано сказать, где костюм не помогает:

  • Заблокированные адреса. Если цензор уже занёс IP вашего сервера в чёрный список, неважно, как выглядят ваши пакеты. Маскировка побеждает фильтры по протоколу, а не списки адресов.
  • Запреты и замедление UDP. Некоторые сети сбрасывают или душат незнакомый UDP-трафик целиком. AmneziaWG — это по-прежнему UDP; в таких сетях верх берут туннели, наряжающиеся под обычный веб-трафик поверх TCP.
  • Файрволы с белыми списками. Самые строгие сети переворачивают логику: проходят только распознанные протоколы. Там трафик, который не похож ни на что, сам по себе подозрителен, и нераспознаваемые потоки с высокой энтропией сбрасываются из принципа. Выглядеть как шум помогает против чёрного списка и вредит против белого.
  • Гонка вооружений. Цензоры также измеряют тайминги потоков, шаблоны размеров пакетов во времени и то, как подозреваемый сервер отвечает, когда его прощупывают. Любая схема обфускации — это движущаяся мишень, и поэтому серьёзные проекты продолжают выпускать новые версии.

Реалистичная формулировка: AmneziaWG делает вас дорогим для блокировки в сетях, которые фильтруют по сигнатуре протокола. Там, где блокировка работает по адресу, по транспорту или по белому списку, нужны другие ходы — мы описываем весь этот ландшафт в материале как VPN обходит цензуру.

Нужна ли вам обфускация VPN на самом деле?

Вопрос, который стоит задать, прежде чем хвататься за любой обфусцированный VPN: действительно ли ваша проблема — это блокировка по протоколу? На домашнем подключении в большинстве стран обычный WireGuard подключается нормально, а обфускация добавляет подвижных частей, не добавляя приватности — шифрование в любом случае одинаковое. Честная проверка проста: если стандартный VPN надёжно подключается в вашей сети, костюм вам не нужен.

Обфускация оправдывает себя в конкретных ситуациях: национальные файрволы, снимающие отпечаток с VPN-протоколов, интернет-провайдеры, замедляющие распознанный VPN-трафик, и некоторые корпоративные, кампусные или гостиничные сети, блокирующие туннели в силу политики. Если что-то из этого описывает вашу неделю, остальная часть этого сравнения — для вас. Если нет, выбор протокола — о нём в нашем основном сравнении — важнее маскировки.

AmneziaWG на iPhone

Существуют официальные приложения AmneziaWG, в том числе клиент для iOS. Если вы арендуете сервер и настроите его инструментами Amnezia, вы можете импортировать конфигурацию с параметрами обфускации — и готово. Для тех, кому комфортно управлять сервером и держать параметры синхронными, это по-настоящему хороший путь — а наше сравнение Shadowsocks против VPN рассматривает альтернативы в форме прокси в том же духе самостоятельного размещения.

Большинство людей не хотят держать инфраструктуру, чтобы читать интернет, и не должны. Практическая альтернатива — это VPN, чьё приложение применяет обфускацию за вас, причём обе стороны управляются одним провайдером.

Snap VPN устроен именно так. Сам туннель — это WireGuard, а поверх него мы применяем собственные техники обфускации, формируя соединение так, чтобы оно не предъявляло системам инспекции хрестоматийную сигнатуру VPN. Мы намеренно держим детали уровня провода вне нашей документации — опубликованные маскировки первыми попадают в фильтры, — но принцип тот же, что доказывает AmneziaWG: сохрани инженерию WireGuard, измени то, что видит сеть. Ничего настраивать не нужно, и аккаунт создавать не нужно.

Часто задаваемые вопросы

AmneziaWG — это то же самое, что WireGuard? Это форк. Криптография и поведение туннеля — от WireGuard; меняется то, как пакеты выглядят на проводе — мусорные пакеты, дополнение и рандомизированные заголовки заменяют узнаваемую сигнатуру. С этими параметрами, выставленными в ноль, он ведёт себя как стандартный WireGuard.

AmneziaWG медленнее WireGuard? Не существенно. Обфускация добавляет небольшое количество данных при установке соединения, а скорость в установившемся режиме на уровне обычного WireGuard — шифрование, делающее всю настоящую работу, идентично.

Может ли DPI всё-таки обнаружить AmneziaWG? Может попытаться и иногда преуспевает. Обфускация убирает лёгкое совпадение по сигнатуре, но цензоры всё ещё могут блокировать адреса серверов, замедлять UDP или помечать трафик, который вообще не могут классифицировать. Относитесь к этому как к сильному ходу в непрерывной гонке вооружений, а не как к неуязвимости.

Работает ли AmneziaWG на iPhone? Да — есть официальное приложение для iOS, и параметры обфускации в вашей конфигурации должны точно совпадать с серверными. Если вы предпочитаете не заниматься этим сами, альтернатива — VPN-приложение со встроенной обфускацией.

Итог

  • WireGuard легко заблокировать, потому что его рукопожатие выглядит одинаково везде; шифрование скрывает содержимое, а не очертания протокола.
  • AmneziaWG сохраняет криптографию и скорость WireGuard и рандомизирует ровно те части, по которым системы инспекции ведут сопоставление.
  • Он побеждает фильтры по протоколу; он не одолевает чёрные списки IP, запреты UDP или файрволы с белыми списками.
  • Самостоятельно разместить его на iPhone можно через официальное приложение. Малозатратный путь — это VPN, поставляющий обфускацию как часть продукта.

Если вам нужна скорость WireGuard с уже решённой обфускацией — без сервера в аренду, без синхронизации параметров, без аккаунта и без логов трафика — Snap VPN есть в App Store.