WireGuard виграв суперечку про сучасні протоколи тим, що він малий, швидкий і нудний у найкращому сенсі. Але його ніколи не створювали для того, щоб ховатися. У мережах, які використовують глибоку перевірку пакетів для пошуку трафіку VPN, звичайний WireGuard — один із найлегших протоколів для розпізнавання, і AmneziaWG — це проєкт, який поставив собі за мету виправити саме це, не пожертвувавши тим, що WireGuard робить добре.

Коротка відповідь: AmneziaWG — це форк WireGuard з відкритим кодом, який зберігає криптографію та швидкість, але маскує впізнаване рукостискання протоколу — сміттєвими пакетами, випадковим доповненням і переписаними байтами заголовка, — тож глибока перевірка пакетів не може зіставити його з сигнатурою WireGuard. Той самий тунель усередині, інший силует на дроті.

Головне

  • AmneziaWG — це WireGuard плюс шар обфускації. Шифрування, модель ключів і продуктивність по суті незмінні.
  • Звичайний WireGuard має фіксоване рукостискання, з якого знімається відбиток, — саме так цензори блокують його, нічого не розшифровуючи.
  • AmneziaWG ламає відбиток: сміттєві пакети перед рукостисканням, випадкове доповнення на ньому й рандомізовані значення заголовка.
  • Це не панацея. Заблоковані адреси серверів, заборони UDP та фаєрволи зі списком дозволеного зупиняють його однаково.
  • У звичайній мережі він не дає вам нічого додаткового. Він важливий у мережах, які активно полюють на протоколи VPN.

Чому звичайний WireGuard легко заблокувати

Цензорові не потрібно зламувати шифрування, щоб заблокувати VPN. Йому лише потрібно розпізнати протокол, а WireGuard полегшує це, бо його рукостискання щоразу має однаковий вигляд. Перший пакет кожної сесії WireGuard — це UDP-повідомлення завдовжки рівно 148 байтів, і його перші чотири байти — це поле типу повідомлення, яке завжди читається як 1, за яким ідуть три нулі. Відповідь сервера має рівно 92 байти, тип 2. Кожна реалізація, кожне з'єднання, усюди.

Ця регулярність чудова для інженерів і жалюгідна для будь-кого за державним фаєрволом. Обладнання для перевірки зіставляє форму за шаблоном — фіксовані розміри, постійні байти типу, ритм обміну — і розриває з'єднання, перш ніж тунель завершить налаштування. Усе всередині лишається зашифрованим; зовнішнє видає гру.

Це не недогляд. Проєкт WireGuard зазначає обфускацію трафіку як явну незадачу: протокол має лишатися мінімальним і придатним до аудиту, а маскування полишено на шари, збудовані поверх. Роками це лишало прогалину, бо країни, які фільтрують найжорсткіше — ми розбираємо як Іран, Росія та Китай блокують VPN — рано додали сигнатуру WireGuard до своїх фільтрів.

AmneziaWG — одна з відповідей на цю прогалину.

Що змінює AmneziaWG

AmneziaWG походить від команди, що стоїть за Amnezia, інструментарієм з відкритим кодом для самостійно розгорнутих VPN, і найлегше зрозуміти його як WireGuard у костюмі. Форк додає набір параметрів конфігурації, що переформовують те, як виглядає з'єднання саме в ті моменти, коли системи перевірки спостерігають:

  • Спершу сміттєві пакети (параметри Jc, Jmin, Jmax). Перед справжнім рукостисканням клієнт надсилає сплеск безглуздих випадкових пакетів різного розміру. Розмова більше не починається з охайного 148-байтового повідомлення.
  • Випадкове доповнення (S1, S2). До ініціації рукостискання та відповіді додаються випадкові зайві байти, тож розміри пакетів перестають збігатися з відомою сигнатурою.
  • Переписані заголовки (H1–H4). Чотири фіксовані значення типу повідомлення, що маркують кожен пакет WireGuard, замінюються значеннями, про які обидва кінці домовляються заздалегідь. Промовисті 1, 2, 3, 4 ніколи не з'являються на дроті.

Новіші випуски просувають ідею далі. Версія 1.5 додала спеціально сконструйовані стартові пакети, що імітують перші байти інших протоколів, а лінійка 2.0, яка вийшла слідом у 2026 році, продовжує в тому ж напрямі — мета зміщується від «не виглядати як WireGuard» до «виглядати як щось безневинне».

Дві деталі мають значення на практиці. Обидва кінці мають мати спільні значення параметрів: це узгоджений костюм, що несеться у файлі конфігурації, а не щось, що клієнт імпровізує. І коли кожен параметр обфускації встановлено в нуль, AmneziaWG говорить звичайним WireGuard — що показує, наскільки тонкий і хірургічний насправді доданий шар.

Що лишається незмінним

Під костюмом протокол недоторканий. Математика рукостискання, сучасні шифри, обмін ключами — усе успадковане безпосередньо від WireGuard, а не винайдене заново. Це правильний вибір: нову обфускацію дешево зіпсувати й виправити, тоді як нову криптографію зіпсувати — катастрофа. Форк, який змінює лише обгортку, зберігає малу, ретельно переглянуту серцевину WireGuard.

Продуктивність теж тримається. Сміттєві пакети додають трохи зайвих даних, коли з'єднання починається, а після цього тунель рухає трафік так, як це робить WireGuard. Якщо вам важливо, як основні протоколи зіставляються за швидкістю та витратою заряду, ми зробили це порівняння в матеріалі WireGuard проти OpenVPN проти IKEv2 — і AmneziaWG сидить у колонці WireGuard, а не зі старішими, важчими варіантами.

Де AmneziaWG досі програє

Обфускація підвищує вартість вашого блокування. Вона не робить блокування неможливим, і чесне порівняння має сказати, де костюм не допомагає:

  • Заблоковані адреси. Якщо цензор уже вніс IP вашого сервера до чорного списку, не має значення, як виглядають ваші пакети. Маскування долає фільтри протоколів, а не списки адрес.
  • Заборони та сповільнення UDP. Деякі мережі гуртом відкидають чи душать незнайомий трафік UDP. AmneziaWG усе одно UDP; у таких мережах перевагу беруть тунелі, що вбираються у вигляд звичайного вебтрафіку поверх TCP.
  • Фаєрволи зі списком дозволеного. Найсуворіші мережі перевертають логіку: проходять лише розпізнані протоколи. Там трафік, що виглядає як ніщо, сам по собі підозрілий, і нерозпізнавані потоки з високою ентропією відкидаються з принципу. Виглядати як шум допомагає проти списку блокування й шкодить проти списку дозволеного.
  • Перегони озброєнь. Цензори також вимірюють тайминг потоку, шаблони розміру пакетів у часі й те, як підозрюваний сервер відповідає, коли його штрикають. Кожна схема обфускації — рухома ціль, і саме тому серйозні проєкти продовжують випускати нові версії.

Реалістичне формулювання: AmneziaWG робить вас дорогим для блокування в мережах, які фільтрують за сигнатурою протоколу. Там, де блокування працює за адресою, за транспортом чи за списком дозволеного, вам потрібні інші ходи — ми картуємо весь цей ландшафт у матеріалі як VPN обходить цензуру.

Чи справді вам потрібна обфускація VPN?

Питання, яке варто поставити, перш ніж тягтися до будь-якого обфускованого VPN: чи ваша проблема справді в блокуванні протоколу? На домашньому з'єднанні в більшості країн звичайний WireGuard під'єднується нормально, а обфускація додає рухомих частин, не додаючи приватності — шифрування однакове в обох випадках. Чесна перевірка проста: якщо стандартний VPN надійно під'єднується у вашій мережі, костюм вам не потрібен.

Обфускація виправдовує себе в конкретних ситуаціях: державні фаєрволи, що знімають відбиток із протоколів VPN, інтернет-провайдери, що сповільнюють розпізнаний трафік VPN, і деякі корпоративні, кампусні чи готельні мережі, що блокують тунелі як питання політики. Якщо одне з цього описує ваш тиждень, решта цього порівняння для вас. Якщо ні, вибір протоколу — висвітлений у нашому головному порівнянні — важить більше за маскування.

AmneziaWG на iPhone

Існують офіційні застосунки AmneziaWG, зокрема клієнт для iOS. Якщо ви орендуєте сервер і налаштовуєте його за допомогою інструментів Amnezia, ви можете імпортувати конфігурацію, що несе параметри обфускації, і на цьому все. Для людей, яким комфортно керувати сервером і тримати параметри синхронізованими, це справді гарний шлях — а наше порівняння Shadowsocks проти VPN охоплює альтернативи у формі проксі в тому ж дусі самостійного розгортання.

Більшість людей не хочуть тримати інфраструктуру, щоб читати інтернет, і не мусять. Практична альтернатива — це VPN, чий застосунок застосовує обфускацію за вас, з обома кінцями під керуванням того самого постачальника.

Snap VPN збудовано саме так. Сам тунель — це WireGuard, а поверх нього ми застосовуємо власні техніки обфускації, формуючи з'єднання так, щоб воно не подавало системам перевірки хрестоматійну сигнатуру VPN. Ми навмисне тримаємо деталі рівня дроту поза нашою документацією — оприлюднені маскування першими додають до фільтрів, — але принцип той самий, який доводить AmneziaWG: збережіть інженерію WireGuard, змініть те, що бачить мережа. Тут нічого налаштовувати й не треба створювати обліковий запис.

Поширені запитання

Чи AmneziaWG — це те саме, що WireGuard? Це форк. Криптографія й поведінка тунелю — від WireGuard; змінюється те, як пакети виглядають на дроті — сміттєві пакети, доповнення та рандомізовані заголовки замінюють упізнавану сигнатуру. З обнуленими параметрами він поводиться як стандартний WireGuard.

Чи AmneziaWG повільніший за WireGuard? Не суттєво. Обфускація додає невелику кількість даних під час налаштування з'єднання, а швидкість у сталому стані відповідає звичайному WireGuard — шифрування, що робить власне роботу, ідентичне.

Чи може DPI все ще виявити AmneziaWG? Може спробувати, і подеколи успішно. Обфускація прибирає легке зіставлення сигнатур, але цензори досі можуть блокувати адреси серверів, сповільнювати UDP чи позначати трафік, який вони взагалі не можуть класифікувати. Ставтеся до цього як до сильного ходу в тривалих перегонах озброєнь, а не як до невразливості.

Чи працює AmneziaWG на iPhone? Так — є офіційний застосунок для iOS, і параметри обфускації у вашій конфігурації мають точно збігатися з серверними. Якщо ви радше не керували б цим самостійно, альтернатива — це застосунок VPN із вбудованою обфускацією.

Підсумок

  • WireGuard легко заблокувати, бо його рукостискання виглядає ідентично всюди; шифрування приховує вміст, а не обрис протоколу.
  • AmneziaWG зберігає криптографію та швидкість WireGuard і рандомізує саме ті частини, на яких зіставляють системи перевірки.
  • Він виграє проти фільтрів протоколів; він не долає списки блокування IP, заборони UDP чи фаєрволи зі списком дозволеного.
  • Самостійне розгортання на iPhone працює через офіційний застосунок. Шлях із малими зусиллями — це VPN, що постачає обфускацію як частину продукту.

Якщо ви хочете швидкість WireGuard з уже залагодженою обфускацією — без сервера в оренду, без параметрів для синхронізації, без облікового запису й без журналів трафіку — Snap VPN є в App Store.