Свой AmneziaWG пару лет спустя: что ломается в быту и что я с этим делаю
lked 14 минут назад Свой AmneziaWG пару лет спустя: что ломается в быту и что я с этим делаю Средний 7 мин 516 *nix * Сетевые технологии * Системное администрирование * Информационная безопасность * Туториал Поднять...
Anthropic — What company has the best second artificial intelligence model at the end of June?
Вот важная новость с фронта ИИ: lked 14 минут назад Свой AmneziaWG пару лет спустя: что ломается в быту и что я с этим делаю Средний 7 мин 516 *nix * Сетевые технологии * Системное администрирование * Информационная безопасность * Туториал Поднять свой VPN на дешёвом VPS - дело на вечер: как это делается с нуля через мой установщик amneziawg-installer, я недавно разбирал отдельно. А что начинается потом, обычно обходят молчанием: через неделю на телефоне начинает рвать, сервер надо обновлять, кому-то раздать доступ и через месяц забрать обратно, а кто-то хочет российские сайты держать напрямую, всё остальное - за границу. Про этот второй уровень и расскажу.
Сервер я держу пару лет, на нём сидят жена и пара друзей, и за это время накопилось понимание, что обычно идёт не так. Почти всё, что ниже, пришлось либо чинить у себя, либо разбирать по чужим отчётам в issues. Собрал в одном месте.
Технические детали
Сначала коротко: что вообще прячет AmneziaWGОбычный WireGuard быстрый и лёгкий, но у его трафика характерный почерк, и системы фильтрации научились его опознавать и резать, даже если сервер личный. AmneziaWG этот почерк маскирует: подмешивает в поток мусорные пакеты (параметры Jc/Jmin/Jmax), прячет служебные заголовки в случайные диапазоны (H1-H4) и в версии 2. 0 добавляет так называемые CPS-пакеты (I1-I5), которые имитируют посторонний протокол на старте соединения.
Считается всё в ядре, поэтому на вменяемом железе маскировка скорость почти не ест - на совсем дохлом VPS это уже не так, но про него ниже. Подробно разбирать протокол я не буду - это уже сделали в подробной статье самой Amnezia про AmneziaWG 2. 0, лучше там и прочитать.
Для практики важно другое: руками эти параметры подбирать тяжело и легко ошибиться. Диапазоны H1-H4, например, не должны пересекаться и не должны попадать в зарезервированные значения, иначе соединение просто не встанет. Поэтому я их не трогаю руками: установщик генерирует корректные непересекающиеся диапазоны сам и делает их случайными на каждой установке - чтобы у всех серверов отпечаток был разный, а не один на всех.
Отраслевые последствия
Параметры обфускации, которые установщик сгенерировал сам: число и размер мусорных пакетов Jc/Jmin/Jmax и непересекающиеся диапазоны H1-H4Чем я ставлю и обновляюСтавится всё одной командой на чистый Ubuntu или Debian:wget -O install_amneziawg. sh Это amneziawg-installer - мой открытый установщик AmneziaWG 2. 0 под выделенный сервер на Ubuntu 24.
Он спрашивает порт и пару вещей, дальше работает сам: ставит протокол, настраивает фаервол, генерирует параметры обфускации, сервер и готовых клиентов с QR-кодами. На ARM (Raspberry Pi, Oracle Ampere, Hetzner arm64) сначала пробует готовый модуль ядра для известных таргетов, а если совпадения нет - собирает через DKMS. Есть русская и английская версии.
Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.
