AmneziaWG è un fork di WireGuard che aggiunge offuscamento. WireGuard semplice ha intestazioni di pacchetti fisse e dimensioni di pacchetti prevedibili, quindi l'ispezione approfondita dei pacchetti (DPI) può individuarlo e bloccarlo. AmneziaWG randomizza quelle firme: può cambiare le intestazioni di tipo messaggio, aggiungere padding ai messaggi a dimensioni variabili e inviare pacchetti spazzatura prima dell'handshake. La crittografia e la velocità rimangono le stesse di WireGuard — cambia solo la forma del traffico.

I parametri di AmneziaWG devono corrispondere sul server e sul client?

La maggior parte di essi, sì. Secondo i documenti ufficiali di Amnezia, S1, S2 e le quattro intestazioni H1, H2, H3 e H4 devono essere identiche su entrambi i peer — indicano a ciascun lato dove inizia il vero dato. Le impostazioni dei pacchetti spazzatura Jc, Jmin e Jmax possono differire tra i peer e sono raccomandate sul lato client. Se S1/S2 o H1-H4 non corrispondono, l'handshake non si completa mai.

AmneziaWG è più lento di WireGuard?

L'offuscamento aggiunge un po' di overhead — pacchetti spazzatura e padding significano qualche byte extra per sessione e per pacchetto. In pratica l'impatto è piccolo perché il protocollo sottostante è ancora WireGuard. Per la navigazione quotidiana su un piccolo VPS la differenza di solito non è percepibile. Se non hai bisogno di resistenza al DPI, WireGuard semplice rimane la scelta più leggera.

Posso eseguire AmneziaWG su un VPS normale come Contabo?

Sì. AmneziaWG si installa su un VPS Linux standard nello stesso modo di WireGuard. Su Ubuntu e Debian c'è un PPA ufficiale (ppa:amnezia/ppa) che fornisce il modulo kernel (con DKMS) e gli strumenti awg / awg-quick. Un piccolo VPS con accesso root completo — per esempio un Contabo VPS S — è sufficiente per ospitare il lato server.

Quando dovrei scegliere AmneziaWG rispetto a WireGuard semplice?

Sceglilo quando la tua rete blocca o limita attivamente WireGuard: alcuni operatori mobili, firewall aziendali e sistemi di filtraggio nazionali rilevano la firma di WireGuard. Per una rete domestica o aziendale aperta, WireGuard semplice è più semplice e non c'è motivo di aggiungere offuscamento. AmneziaWG è la risposta al rilevamento, non un aggiornamento predefinito.

AmneziaWG: il fork di WireGuard resistente al DPI, autogestito (2026)

Divulgazione affiliata — Questo articolo contiene link affiliati di Contabo. Se noleggi un VPS tramite uno di essi, guadagniamo una commissione senza costi aggiuntivi per te. Ogni comando e parametro qui sotto è documentato dal progetto ufficiale AmneziaWG, non da test interni.

WireGuard è veloce, moderno e facile da autogestire. Ha una debolezza: è facile da individuare. Il protocollo utilizza intestazioni di pacchetti fisse e dimensioni di pacchetti prevedibili, quindi una rete che esegue l'ispezione approfondita dei pacchetti (DPI) può riconoscere il traffico WireGuard e bloccarlo. È esattamente ciò che fanno alcuni operatori mobili, firewall aziendali rigidi e filtri nazionali.

AmneziaWG è la risposta a questo problema. È un fork di WireGuard che mantiene la stessa crittografia e velocità, ma cambia la forma del traffico in modo che il DPI non possa più identificarlo. Questa guida spiega cosa fa effettivamente AmneziaWG, cosa significa ciascuna impostazione di offuscamento e come autogestire il lato server sul tuo VPS.

Perché WireGuard viene rilevato facilmente

Il DPI non ha bisogno di rompere la crittografia per bloccarti. Deve solo riconoscere il pattern. WireGuard rende questo facile in tre modi:

Intestazioni di messaggi fisse. Ogni pacchetto WireGuard inizia con un campo di tipo noto. Un filtro può leggere i primi byte e dire "questo è un handshake WireGuard."
Dimensioni dei pacchetti prevedibili. I messaggi di handshake hanno lunghezze impostate. Un filtro può abbinarsi solo a quelle lunghezze.
Un chiaro burst di handshake. La connessione si apre sempre allo stesso modo, quindi l'inizio di una sessione risalta.

Insieme, queste caratteristiche danno a WireGuard una firma chiara. Una volta che una rete conosce quella firma, può eliminare i pacchetti e il tuo tunnel semplicemente non si connette mai.

Cosa cambia AmneziaWG

AmneziaWG è descritto dai suoi autori come una versione contemporanea di WireGuard con offuscamento integrato. Rimuove la firma utilizzando alcuni strumenti indipendenti. Li attivi con campi extra nella sezione [Interface] della tua configurazione.

Primo piano di un terminale Ubuntu che mostra il prompt ubuntu@ubuntu:~$ sudo

Ecco cosa fa ciascun gruppo di impostazioni, basato sulla documentazione ufficiale di Amnezia.

Pacchetti spazzatura — Jc, Jmin, Jmax

Prima del vero handshake, AmneziaWG può inviare una breve serie di pacchetti "spazzatura" casuali.

Jc indica quanti pacchetti spazzatura inviare. I documenti raccomandano un valore da 4 a 12.
Jmin e Jmax impostano l'intervallo di dimensioni casuali per quei pacchetti, consigliati intorno a 8 e 80 byte.

I pacchetti spazzatura offuscano il chiaro burst di handshake che il DPI cerca. Sono raccomandati sul lato client e possono differire tra i due peer.

Padding dei messaggi — S1, S2

S1 e S2 aggiungono padding casuale ai messaggi di handshake — S1 al messaggio di inizio e S2 alla risposta. L'intervallo raccomandato è circa 15-150 byte. Questo rompe il segnale di "dimensione del pacchetto prevedibile": i messaggi non hanno più una lunghezza fissa e abbinabile.

Randomizzazione delle intestazioni — H1, H2, H3, H4

H1 a H4 sostituiscono le intestazioni di tipo messaggio fisse di WireGuard con valori estratti da intervalli scelti da te. Per ogni pacchetto inviato, viene scelto un valore casuale dall'intervallo; dall'altra parte, qualsiasi valore all'interno dell'intervallo è accettato. I quattro intervalli devono essere diversi tra loro e non devono sovrapporsi. Questo è il cambiamento che cancella la firma più ovvia di WireGuard.

La regola che inganna: quali parametri devono corrispondere

Questo è il punto in cui la maggior parte delle configurazioni fallite sbaglia, quindi merita una sezione a parte.

Secondo la documentazione ufficiale di Amnezia: tutti i parametri devono essere gli stessi tra client e server, tranne Jc, Jmin e Jmax, che possono variare.

In termini semplici:

S1, S2, H1, H2, H3, H4 → devono essere identici su entrambi i peer. Indicano a ciascun lato dove inizia il vero dato significativo. Se non sono d'accordo, il ricevitore non può trovare il pacchetto reale e l'handshake fallisce silenziosamente.
Jc, Jmin, Jmax → possono differire per peer. Sono raccomandati sul client.

Quindi la soluzione per "AmneziaWG non si connette" è quasi sempre la stessa: controlla che le intestazioni e il padding corrispondano esattamente su entrambe le estremità.

Autogestire il server su un VPS

AmneziaWG si installa su un normale VPS Linux nello stesso modo di WireGuard. Hai bisogno di un server con accesso root completo e un indirizzo IPv4 pubblico. Una piccola macchina come un Contabo VPS S a €4,99/mese è sufficiente, e puoi riutilizzare la stessa macchina che già esegue la tua configurazione WireGuard.

Installazione su Ubuntu o Debian

Il progetto Amnezia fornisce un PPA ufficiale. Su Ubuntu:

sudo add-apt-repository ppa:amnezia/ppa
sudo apt update
sudo apt install amneziawg amneziawg-tools

Il pacchetto fornisce il modulo kernel — con supporto DKMS su sistemi compatibili, quindi si ricompila dopo gli aggiornamenti del kernel — e gli strumenti userspace. Gli strumenti da riga di comando sono awg e awg-quick, che rispecchiano wg e wg-quick. Se già conosci WireGuard, il flusso di lavoro è lo stesso.

Scrivere la configurazione del server

Crea /etc/amnezia/amneziawg/awg0.conf. Sembra una configurazione WireGuard più i campi di offuscamento in [Interface]:

[Interface]
PrivateKey = <server-private-key>
Address = 10.13.13.1/24
ListenPort = 51820

# Offuscamento — questi devono corrispondere anche sul client
Jc = 8
Jmin = 8
Jmax = 80
S1 = 86
S2 = 118
H1 = 1234567
H2 = 7654321
H3 = 3141592
H4 = 2718281

[Peer]
PublicKey = <client-public-key>
AllowedIPs = 10.13.13.2/32

Scegli i tuoi valori casuali — i numeri sopra sono segnaposto. Le uniche regole rigide sono: mantieni S1/S2 e H1-H4 all'interno degli intervalli raccomandati, mantieni distinti i quattro intervalli H, e copia S1, S2, H1, H2, H3, H4 esattamente nella configurazione del client.

Avvia il tunnel:

sudo awg-quick up awg0

Controllalo con sudo awg show, nello stesso modo in cui eseguiresti wg show.

La configurazione del client corrispondente

La configurazione del client ripete gli stessi valori S e H. Solo le impostazioni dei pacchetti spazzatura sono libere di differire:

[Interface]
PrivateKey = <client-private-key>
Address = 10.13.13.2/24
DNS = 10.13.13.1

# Devono corrispondere al server
S1 = 86
S2 = 118
H1 = 1234567
H2 = 7654321
H3 = 3141592
H4 = 2718281
# Possono differire dal server
Jc = 10
Jmin = 8
Jmax = 80

[Peer]
PublicKey = <server-public-key>
Endpoint = your-vps-ip:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

Esistono client ufficiali AmneziaWG per Windows, piattaforme Apple, Android e l'implementazione userspace amneziawg-go, quindi lo stesso server funziona con desktop e mobile.

AmneziaWG vs WireGuard semplice — quando usare quale

AmneziaWG non è un aggiornamento diretto. È uno strumento mirato. Usa questa guida rapida:

Rete domestica o aziendale aperta → WireGuard semplice. È più semplice e non c'è nulla da nascondere.
Operatore, firewall o paese che blocca WireGuard → AmneziaWG. L'offuscamento è l'intero punto.
Vuoi il tunnel più leggero possibile → WireGuard semplice. L'offuscamento aggiunge un po' di overhead.
Hai già autogestito WireGuard e ha smesso di connettersi su una nuova rete → prova AmneziaWG sullo stesso VPS prima di supporre che il server sia rotto.

Il riassunto onesto: AmneziaWG risolve il rilevamento, non la velocità e non la privacy. La crittografia è lo stesso WireGuard di cui ti fidi già. Ciò che cambia è se un filtro può vederlo.

Approfondimenti

Autogestire VPN su Contabo: guida completa a WireGuard 2026
Cloak offuscamento HTTPS per una VPN autogestita
Bypass VPN anti-DPI: quali stack funzionano ancora nel 2026
WireGuard vs OpenVPN: un'analisi approfondita
Generatore di configurazioni WireGuard — crea una configurazione base pulita in meno di un minuto

Fonti e riferimenti:

Pubblicato il 23-06-2026. Tutti i parametri, intervalli e passaggi di installazione sono presi dalla documentazione ufficiale del progetto AmneziaWG e dai repository collegati sopra. Conferma sempre i valori raccomandati attuali nei documenti ufficiali prima di distribuire, poiché il progetto li aggiorna nel tempo.

Promemoria: WireGuard, AmneziaWG e l'autogestione della tua VPN sono legali nell'UE, negli Stati Uniti, in Canada e nella maggior parte dei paesi democratici. VPNSmith pubblica questo contenuto a scopo educativo.

★ Datacenter GDPR di Norimberga · ✓ IPv4 dedicato incluso · 200+ Mbps garantiti

Un VPS che controlli completamente per tunneling e offuscamento → ContaboAccesso root · apri qualsiasi porta · esegui il tuo stack→