O que é o AmneziaWG?

AmneziaWG é um fork do WireGuard que adiciona ofuscação. O WireGuard simples tem cabeçalhos de pacotes fixos e tamanhos de pacotes previsíveis, de modo que a inspeção profunda de pacotes (DPI) pode detetá-lo e bloqueá-lo. O AmneziaWG randomiza essas assinaturas: pode alterar os cabeçalhos de tipo de mensagem, preencher mensagens com tamanhos variáveis e enviar pacotes de lixo antes do handshake. A criptografia e a velocidade permanecem as mesmas do WireGuard — apenas a forma do tráfego muda.

Os parâmetros do AmneziaWG têm que coincidir no servidor e no cliente?

A maioria deles, sim. De acordo com os documentos oficiais do Amnezia, S1, S2 e os quatro cabeçalhos H1, H2, H3 e H4 devem ser idênticos em ambos os pares — eles indicam a cada lado onde começam os dados reais. As configurações de pacotes de lixo Jc, Jmin e Jmax podem diferir entre os pares, e são recomendadas no lado do cliente. Se S1/S2 ou H1-H4 não coincidirem, o handshake nunca se completa.

O AmneziaWG é mais lento que o WireGuard?

A ofuscação adiciona um pouco de overhead — pacotes de lixo e preenchimento significam alguns bytes extras por sessão e por pacote. Na prática, o impacto é pequeno porque o protocolo subjacente ainda é o WireGuard. Para navegação diária num pequeno VPS, a diferença geralmente não é notável. Se não precisar de resistência a DPI, o WireGuard simples continua a ser a escolha mais leve.

Posso executar o AmneziaWG num VPS normal como o Contabo?

Sim. O AmneziaWG instala-se num VPS Linux padrão da mesma forma que o WireGuard. No Ubuntu e Debian, há um PPA oficial (ppa:amnezia/ppa) que fornece o módulo do kernel (com DKMS) e as ferramentas awg / awg-quick. Um pequeno VPS com acesso root completo — por exemplo, um Contabo VPS S — é suficiente para hospedar o lado do servidor.

Quando devo escolher o AmneziaWG em vez do WireGuard simples?

Escolha-o quando a sua rede bloqueia ou limita ativamente o WireGuard: algumas operadoras móveis, firewalls corporativos e sistemas de filtragem nacionais detetam a assinatura do WireGuard. Para uma rede doméstica ou de escritório aberta, o WireGuard simples é mais simples e não há razão para adicionar ofuscação. O AmneziaWG é a resposta para a deteção, não uma atualização padrão.

AmneziaWG: o fork do WireGuard resistente a DPI, auto-hospedado (2026)

Divulgação de afiliados — Este artigo contém links de afiliados da Contabo. Se alugar um VPS através de um deles, ganhamos uma comissão sem custo adicional para si. Todos os comandos e parâmetros abaixo são documentados a partir do projeto oficial AmneziaWG, não de testes internos.

WireGuard é rápido, moderno e fácil de auto-hospedar. Tem uma fraqueza: é fácil de identificar. O protocolo utiliza cabeçalhos de pacotes fixos e tamanhos de pacotes previsíveis, de modo que uma rede que executa inspeção profunda de pacotes (DPI) pode reconhecer o tráfego WireGuard e bloqueá-lo. É exatamente isso que algumas operadoras móveis, firewalls corporativos rigorosos e filtros nacionais fazem.

AmneziaWG é a resposta para esse problema. É um fork do WireGuard que mantém a mesma criptografia e a mesma velocidade, mas altera a forma do tráfego para que o DPI não consiga mais identificá-lo. Este guia explica o que o AmneziaWG realmente faz, o que cada configuração de ofuscação significa e como auto-hospedar o lado do servidor no seu próprio VPS.

Porque é que o WireGuard simples é detetado

O DPI não precisa de quebrar a criptografia para bloqueá-lo. Só precisa de reconhecer o padrão. O WireGuard facilita isso de três maneiras:

Cabeçalhos de mensagens fixos. Cada pacote WireGuard começa com um campo de tipo conhecido. Um filtro pode ler os primeiros bytes e dizer "isto é um handshake WireGuard."
Tamanhos de pacotes previsíveis. As mensagens de handshake têm comprimentos definidos. Um filtro pode corresponder apenas a esses comprimentos.
Um burst de handshake claro. A conexão abre sempre da mesma maneira, então o início de uma sessão destaca-se.

Juntas, estas características dão ao WireGuard uma assinatura clara. Uma vez que uma rede conhece essa assinatura, pode descartar os pacotes e o seu túnel simplesmente nunca se conecta.

O que o AmneziaWG altera

O AmneziaWG é descrito pelos seus autores como uma versão contemporânea do WireGuard com ofuscação integrada. Remove a assinatura usando algumas ferramentas independentes. Ativa-as com campos adicionais na seção [Interface] da sua configuração.

Close-up de um terminal Ubuntu mostrando o prompt ubuntu@ubuntu:~$ sudo

Aqui está o que cada grupo de configurações faz, com base na documentação oficial do Amnezia.

Pacotes de lixo — Jc, Jmin, Jmax

Antes do handshake real, o AmneziaWG pode enviar uma curta série de pacotes "lixo" aleatórios.

Jc é quantos pacotes de lixo enviar. Os documentos recomendam um valor de 4 a 12.
Jmin e Jmax definem o intervalo de tamanho aleatório para esses pacotes, recomendado entre 8 e 80 bytes.

Os pacotes de lixo desfocam o burst de handshake claro que o DPI procura. São recomendados no lado do cliente e podem diferir entre os dois pares.

Preenchimento de mensagens — S1, S2

S1 e S2 adicionam preenchimento aleatório às mensagens de handshake — S1 à mensagem de início e S2 à resposta. O intervalo recomendado é aproximadamente de 15 a 150 bytes. Isto quebra o sinal de "tamanho de pacote previsível": as mensagens já não têm um comprimento fixo e correspondível.

Randomização de cabeçalhos — H1, H2, H3, H4

H1 a H4 substituem os cabeçalhos de tipo de mensagem fixos do WireGuard por valores retirados de intervalos que escolhe. Para cada pacote enviado, um valor aleatório é escolhido do intervalo; do outro lado, qualquer valor dentro do intervalo é aceite. Os quatro intervalos devem ser diferentes entre si e não devem sobrepor-se. Esta é a alteração que apaga a assinatura mais óbvia do WireGuard.

A regra que confunde as pessoas: quais parâmetros devem coincidir

É aqui que a maioria das configurações falhadas se engana, por isso merece a sua própria seção.

De acordo com a documentação oficial do Amnezia: todos os parâmetros devem ser os mesmos entre cliente e servidor, exceto Jc, Jmin e Jmax, que podem variar.

Em termos simples:

S1, S2, H1, H2, H3, H4 → devem ser idênticos em ambos os pares. Eles dizem a cada lado onde começam os dados reais e significativos. Se discordarem, o recetor não consegue encontrar o pacote real e o handshake falha silenciosamente.
Jc, Jmin, Jmax → podem diferir por par. São recomendados no cliente.

Portanto, a solução para "AmneziaWG não conecta" é quase sempre a mesma: verifique se os cabeçalhos e o preenchimento coincidem exatamente em ambas as extremidades.

Auto-hospedando o servidor num VPS

O AmneziaWG instala-se num VPS Linux normal da mesma forma que o WireGuard. Precisa de um servidor com acesso root completo e um endereço IPv4 público. Uma máquina pequena como um Contabo VPS S a €4,99/mês é suficiente, e pode reutilizar a mesma máquina que já executa a sua configuração WireGuard.

Instalar no Ubuntu ou Debian

O projeto Amnezia fornece um PPA oficial. No Ubuntu:

sudo add-apt-repository ppa:amnezia/ppa
sudo apt update
sudo apt install amneziawg amneziawg-tools

O pacote fornece o módulo do kernel — com suporte DKMS em sistemas compatíveis, para que seja reconstruído após atualizações do kernel — e as ferramentas de espaço de utilizador. As ferramentas de linha de comando são awg e awg-quick, que espelham wg e wg-quick. Se já conhece o WireGuard, o fluxo de trabalho é o mesmo.

Escrever a configuração do servidor

Crie /etc/amnezia/amneziawg/awg0.conf. Parece uma configuração WireGuard mais os campos de ofuscação em [Interface]:

[Interface]
PrivateKey = <server-private-key>
Address = 10.13.13.1/24
ListenPort = 51820

# Ofuscação — estes devem coincidir no cliente também
Jc = 8
Jmin = 8
Jmax = 80
S1 = 86
S2 = 118
H1 = 1234567
H2 = 7654321
H3 = 3141592
H4 = 2718281

[Peer]
PublicKey = <client-public-key>
AllowedIPs = 10.13.13.2/32

Escolha os seus próprios valores aleatórios — os números acima são apenas exemplos. As únicas regras rígidas são: mantenha S1/S2 e H1-H4 dentro dos intervalos recomendados, mantenha os quatro intervalos H distintos, e copie S1, S2, H1, H2, H3, H4 exatamente na configuração do cliente.

Ative o túnel:

sudo awg-quick up awg0

Verifique com sudo awg show, da mesma forma que executaria wg show.

A configuração correspondente do cliente

A configuração do cliente repete os mesmos valores S e H. Apenas as configurações de lixo são livres para diferir:

[Interface]
PrivateKey = <client-private-key>
Address = 10.13.13.2/24
DNS = 10.13.13.1

# Deve coincidir com o servidor
S1 = 86
S2 = 118
H1 = 1234567
H2 = 7654321
H3 = 3141592
H4 = 2718281
# Pode diferir do servidor
Jc = 10
Jmin = 8
Jmax = 80

[Peer]
PublicKey = <server-public-key>
Endpoint = your-vps-ip:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

Existem clientes oficiais AmneziaWG para Windows, plataformas Apple, Android e a implementação amneziawg-go de espaço de utilizador, para que o mesmo servidor funcione com desktop e mobile.

AmneziaWG vs WireGuard simples — quando usar qual

O AmneziaWG não é uma atualização direta. É uma ferramenta direcionada. Use este guia rápido:

Rede doméstica ou de escritório aberta → WireGuard simples. É mais simples, e não há nada a esconder.
Operadora, firewall ou país que bloqueia o WireGuard → AmneziaWG. A ofuscação é o ponto principal.
Quer o túnel mais leve possível → WireGuard simples. A ofuscação adiciona um pouco de overhead.
Já auto-hospeda WireGuard e ele parou de conectar numa nova rede → experimente o AmneziaWG no mesmo VPS antes de assumir que o servidor está com problemas.

O resumo honesto: o AmneziaWG resolve a deteção, não a velocidade nem a privacidade. A criptografia é o mesmo WireGuard em que já confia. O que muda é se um filtro pode vê-lo.

Indo mais além

Auto-hospedar VPN na Contabo: guia completo do WireGuard 2026
Cloak HTTPS ofuscação para uma VPN auto-hospedada
Bypass VPN anti-DPI: quais stacks ainda funcionam em 2026
WireGuard vs OpenVPN: uma análise aprofundada
Gerador de configuração WireGuard — crie uma configuração base limpa em menos de um minuto

Fontes e referências:

Publicado em 2026-06-23. Todos os parâmetros, intervalos e passos de instalação são retirados da documentação oficial do projeto AmneziaWG e dos repositórios acima mencionados. Confirme sempre os valores recomendados atuais na documentação oficial antes de implementar, uma vez que o projeto os atualiza ao longo do tempo.

Lembrete: WireGuard, AmneziaWG e auto-hospedar a sua própria VPN são legais na UE, EUA, Canadá e na maioria dos países democráticos. A VPNSmith publica este conteúdo para fins educacionais.

★ Datacenter GDPR em Nuremberg · ✓ IPv4 dedicado incluído · 200+ Mbps garantidos

Um VPS que controla por completo para tunneling e ofuscação → ContaboAcesso root · abra qualquer porta · execute a sua própria stack→