AmneziaWG Einrichtungsanleitung

Schlüsselwörter

Schlüsselwort	Definition
🛡️ AmneziaWG	Ein Fork von WireGuard, der Paket-Header, -größen und -übertragungszeiten randomisiert, um Deep Packet Inspection zu umgehen, während die bewährte Kryptographie beibehalten wird. Dies ist ein Protokoll, das auf Ihrem Server läuft.
🚀 AmneziaWG 2.0	Die aktuelle Hauptversion, die dynamische Header-Bereiche (anstatt fester Werte) verwendet, Daten-Padding (S4) hinzufügt und Ersatzpakete mit einer benutzerdefinierten Protokollsignatur für stärkeren DPI-Schutz unterstützt.
🔍 Deep Packet Inspection (DPI)	Eine Netzwerkfiltertechnik, die von ISPs und staatlichen Stellen verwendet wird, um VPN-Verkehr zu identifizieren und zu blockieren, indem Paket-Header, -größen und Handshake-Muster analysiert werden. AmneziaWG ist speziell dafür konzipiert, dies zu umgehen.
⚡ WireGuard	Ein schnelles, modernes VPN-Protokoll mit einem kleinen Code-Basis und Kernel-Leistung. Es ist aufgrund seiner festen Paketstruktur leicht von DPI-Systemen zu identifizieren, was in AmneziaWG adressiert wurde.
🏠 Selbstgehostetes VPN	Ein VPN, das Sie auf Ihrem eigenen Server (typischerweise ein VPS) bereitstellen und verwalten, anstatt sich bei einem kommerziellen Anbieter anzumelden. Sie kontrollieren die Schlüssel, Konfiguration und Infrastruktur.
🐧 DKMS (Dynamic Kernel Module Support)	Ein Linux-Framework, das Kernel-Module automatisch neu kompiliert, wenn der Systemkernel aktualisiert wird. Der AmneziaWG-Installer verwendet DKMS, um ein leistungsstarkes Kernel-Modul zu erstellen.
🎭 Obfuscation	Die Praxis, VPN-Verkehr zu verschleiern, um ihn wie regulären Internetverkehr erscheinen zu lassen. AmneziaWG obfuskiert auf der Transportschicht, indem es Header randomisiert, Padding hinzufügt, Ersatzpakete sendet und Junk-Pakete generiert.
🔀 Split Tunneling	Eine Routing-Konfiguration, bei der nur spezifischer Verkehr (z.B. blockierte Seiten) durch das VPN geht, während anderer Verkehr Ihre direkte Verbindung nutzt. Nützlich in Ländern mit teilweiser Zensur.
🖥️ KVM vs LXC	KVM ist vollständige Virtualisierung mit einem dedizierten Kernel, der erforderlich ist, um benutzerdefinierte Kernel-Module wie AmneziaWG zu laden. LXC ist Container-Virtualisierung, die den gemeinsamen Kernel des Hosts verwendet und keine benutzerdefinierten Module laden kann.
🎪 CPS (Custom Protocol Signature)	Ein Feature von AmneziaWG 2.0, das Ersatzpakete sendet, die andere Protokolle (QUIC, DNS, SIP) nachahmen, bevor der eigentliche Handshake beginnt, und DPI-Systeme irreführt, indem der Verkehr als normal klassifiziert wird.

---

Selbstbereitstellung des AmneziaWG VPN-Servers — Vollständiger Leitfaden

AmneziaWG ist ein Protokoll, das entwickelt wurde, um ein spezifisches Problem zu lösen: Wie erreicht man WireGuard-Geschwindigkeiten, wenn die Netzwerke, mit denen Sie sich verbinden, aktiv versuchen, es zu blockieren? Es ist ein Fork von WireGuard, der vom Amnezia VPN-Team erstellt wurde, und es tut, was das Original nicht tut — es randomisiert die Transportschicht, sodass Deep Packet Inspection-Systeme es nicht identifizieren können. Die Verschlüsselung bleibt genau gleich. Nur das Erscheinungsbild der Pakete im Netzwerk ändert sich.

Die breite Landschaft der VPN-Obfuscation war über die Jahre ein Wettrüsten. Werkzeuge wie Shadowsocks, VLESS+Reality und OpenVPN mit obfs4 versuchen, den Verkehr auf verschiedene Weise zu verschleiern — einige als Proxys, einige als vollständige Tunnel, einige mit hohen Leistungskosten. AmneziaWG besetzt eine spezifische Nische: Es ist ein vollständiger VPN-Tunnel mit WireGuard-Leistung und eingebautem DPI-Schutz, alles in einem Paket. Und da es Open Source ist, können Sie es auf Ihrem eigenen Server bereitstellen.

Aber hier ist das Problem, das dies notwendig macht. Sie richten WireGuard ein. Es funktioniert perfekt — schnell, sauber, zuverlässig. Dann eines schönen Tages hört es auf. Keine Fehlermeldung, kein Timeout, keine Verbindungsablehnung. Pakete verschwinden einfach. So sieht DPI-Blocking in der Praxis aus: Ihr Tunnel ist weiterhin betriebsbereit, Ihre Konfiguration ist weiterhin korrekt, und nichts passiert. Dies ist die Realität in Russland (wo WireGuard eine Erfolgsquote von etwa 12 % hat), Iran (98 % Paketverlust) und einer wachsenden Liste von Ländern, darunter China, Ägypten, VAE, Türkei, Weißrussland, Usbekistan, Kasachstan, Myanmar und Pakistan.

Traditionelle Alternativen lösen dieses Problem nicht vollständig. Shadowsocks ist ein Proxy, kein vollständiger VPN-Tunnel — Ihr DNS- und Nicht-TCP-Verkehr wird weiterhin durchsickern. OpenVPN mit obfs4 funktioniert, hat aber etwa 25 % Leistungsüberhead. VLESS+Reality bietet starke Obfuscation, ist aber proxy-basiert und komplex einzurichten. AmneziaWG schließt die Lücke: Es ist ein vollständiger VPN-Tunnel mit WireGuard-Leistung und eingebautem DPI-Schutz.

Dieser Leitfaden führt Sie durch die Bereitstellung eines voll funktionsfähigen AmneziaWG 2.0-Servers auf jedem KVM VPS in weniger als 15 Minuten mit einem einzigen Community-Installer-Skript. Am Ende haben Sie einen funktionierenden VPN-Tunnel, mit dem Sie sich von jedem Gerät aus verbinden können. Die Schritte sind anbieterunabhängig — sie funktionieren auf jedem VPS mit SSH-Zugang und Root-Rechten, egal ob von AvaHost oder einem anderen Anbieter. Dies ist für Benutzer mit einem mittleren technischen Kenntnisstand geschrieben, die sich mit SSH und grundlegenden Linux-Befehlen wohlfühlen.

Eine Klarstellung, bevor wir beginnen: AmneziaWG ist ein Protokoll. AmneziaVPN ist eine Client-Anwendung, die sich damit verbindet. Sie sind verwandt, aber unterschiedlich — wie TLS für Ihren Browser. Sie benötigen eine Anwendung zur Verbindung, aber das Protokoll ist das, was auf Ihrem Server läuft.

Aber bevor wir irgendetwas bereitstellen, müssen Sie verstehen, was AmneziaWG von WireGuard unterscheidet — und warum dieser Unterschied wichtig ist, wenn DPI Sie beobachtet.

---

Was ist AmneziaWG? (Mentales Modell)

WireGuard ist elegant in seinem Design. Es hat eine kleine Code-Basis, verwendet moderne Kryptographie und läuft im Linux-Kernel für nahezu native Leistung. Aber diese Eleganz hat ein Sichtbarkeitsproblem: Jedes WireGuard-Paket trägt die gleiche feste Header-Struktur, die gleichen festen Paketgrößen und das gleiche Handshake-Muster. Für ein Deep Packet Inspection-System hat der WireGuard-Tunnel eine Signatur, die so klar ist wie ein Barcode. Sobald ein DPI-Gerät diese Signatur gelernt hat, kann es jedes Paket abweisen, ohne den Port zu blockieren oder die Verbindung zu schließen.

AmneziaWG ist ein Fork von WireGuard-Go, der vom Amnezia VPN-Team erstellt wurde. Es hat die architektonische Einfachheit von WireGuard geerbt — den gleichen Curve25519-Schlüsselaustausch, die gleiche ChaCha20-Poly1305-Verschlüsselung, das gleiche Noise IK-Handschlag. Alle Kryptographie bleibt unverändert und ist ebenfalls verifiziert. Was AmneziaWG ändert, ist die Transportschicht: Paket-Header, Paketgrößen und Zeitmuster.

Denken Sie daran, dass WireGuard wie ein Kurier ist, der immer die gleiche Uniform trägt — schnell, zuverlässig und effizient. Aber jeder, der die Straße beobachtet, lernt, diese Uniform zu erkennen und kann den Kurier an jedem Kontrollpunkt stoppen. AmneziaWG ist derselbe Kurier, der dieselben Pakete trägt, aber er ändert seine Uniform an jedem Kontrollpunkt. Die gleiche Person, die gleiche Fracht, ein völlig anderes Erscheinungsbild.

Die Versionsgeschichte ist wichtig. AmneziaWG 1.x führte benutzerdefinierte Header ein, die sich von den festen Werten von WireGuard unterschieden — dies half eine Zeit lang, aber die DPI-Systeme passten sich an. AmneziaWG 2.0, das Ende 2025 veröffentlicht wurde, randomisiert alles: Header ändern sich von Paket zu Paket, Padding variiert von Nachricht zu Nachricht, und Ersatzpakete ahmen andere Protokolle nach, bevor der eigentliche Handshake beginnt. Es gibt keine universelle Signatur zur Erkennung, da jeder AmneziaWG 2.0-Server sein eigenes einzigartiges Set von Parametern generiert. Jeder Server spricht seinen eigenen Dialekt.

Wenn alle Obfuscation-Parameter auf null gesetzt sind, verhält sich AmneziaWG identisch zu WireGuard — es ist vollständig abwärtskompatibel auf Protokollebene. Aber mit aktiven Parametern (was die Standardeinstellung ist) wird es zu dem, was WireGuard nicht sein kann: einem schnellen VPN-Tunnel, den DPI-Systeme nur schwer identifizieren können.

Wie genau verschlüsselt AmneziaWG seinen Verkehr? Lassen Sie uns die vier Ebenen der Obfuscation betrachten, die DPI blind machen — und warum sie fast keine Geschwindigkeitskosten hinzufügen.

---

Wie AmneziaWG sich vor DPI versteckt (Ohne Geschwindigkeitsverlust)

AmneziaWG 2.0 verwendet vier Ebenen der Obfuscation, die zusammenarbeiten. Jede zielt auf eine andere Möglichkeit ab, wie DPI-Systeme VPN-Verkehr identifizieren. Zusammen machen sie den Verkehr jedes Servers einzigartig.

Dynamische Header (H1–H4)

WireGuard verwendet feste 32-Bit-Nachrichtentyp-Identifikatoren:

• 1 — für Initiierung
• 2 — für Antwort
• 3 — für Antwort mit Cookie
• 4 — für Daten

Ein DPI-Gerät, das den Verkehr scannt, sucht einfach nach diesen Werten. AmneziaWG 2.0 ersetzt jeden festen Wert durch eine Zufallszahl, die aus einem bestimmten Bereich ausgewählt wird. Der Initiierungs-Header (H1) kann jeder Wert von 234567 bis 345678 sein. Der Antwort-Header (H2) kann von 3456789 bis 4567890 reichen. Diese Bereiche überschneiden sich niemals — das Protokoll muss immer noch intern zwischen Pakettypen unterscheiden — aber für einen Außenstehenden gibt es keinen einzelnen Header-Wert, an den man sich klammern kann. Jedes Paket sieht anders aus als das vorherige.

Zufälliges Padding (S1–S4)

Das Initiierungspaket von WireGuard hat immer genau 148 Bytes. Seine Antwort hat immer genau 92 Bytes. Diese festen Größen sind ein weiteres Fingerabdruck. AmneziaWG fügt jedem Pakettyp zufälliges Padding hinzu: Initiierung wird 148+S1 Bytes, Antwort wird 92+S2 Bytes, Antwort mit Cookie wird 64+S3 Bytes, und jedes Datenpaket erhält S4 Bytes Padding. S3 und S4 sind neu in Version 2.0 — und S4 ist die bedeutendste Ergänzung, da es jedes einzelne Datenpaket betrifft und die Analyse des Verkehrs auf Sitzungsebene erheblich erschwert.

Es gibt eine kritische Einschränkung: S1+56 darf nicht gleich S2 sein. Da der ursprüngliche Größenunterschied zwischen Initiierung und Antwort 56 Bytes beträgt (148−92), wenn die Padding-Werte zufällig genau diesen Unterschied ausgleichen, werden zwei gepolsterte Pakete die gleiche Größe haben — und damit den Fingerabdruck wiederherstellen, den AmneziaWG zu eliminieren versucht. Der Parameter-Generator des Installers stellt automatisch sicher, dass diese Einschränkung eingehalten wird.

Benutzerdefinierte Protokollsignatur (I1–I5)

Bevor der eigentliche Handshake beginnt, sendet der AmneziaWG-Client bis zu fünf Ersatzpakete, die andere Protokolle nachahmen — QUIC, DNS, SIP oder benutzerdefinierte Byte-Muster. Der Server ignoriert diese Pakete vollständig. Er wartet einfach auf den echten Handshake.

• Einfache Konfiguration: Sendet 128 zufällige Bytes <r 128>.
• Komplexe Konfiguration: Sendet Bytes, die wie die Initiierung einer QUIC-Verbindung aussehen (<b 0xc000000001><r 64><t>), mit einem Unix-Zeitstempel.

Für ein DPI-System, das den Sitzungsstart beobachtet, sehen die ersten Pakete wie regulärer Webverkehr aus.

Junk-Pakete (Jc, Jmin, Jmax)

Nach den Ersatzpaketen sendet der Client eine anpassbare Anzahl von Junk-Paketen — reines Rauschen mit zufälligen Größen von Jmin bis Jmax. Diese Pakete verwischen das Timing- und Größenprofil des Sitzungsstarts, was es DPI-Systemen erschwert, zu identifizieren, wo der echte Handshake beginnt.

Geschwindigkeitsfrage

Es gibt eine Zahl, die im Internet kursiert: AmneziaWG hat 65 % Overhead. Diese Zahl ist real, bezieht sich jedoch auf die Benutzerraum-Go-Implementierung — nicht auf das Kernel-Modul. Das Community-Installer, das in diesem Leitfaden verwendet wird, erstellt ein DKMS-Kernel-Modul, und das Kernel-Modul fügt insgesamt weniger als 12 % Overhead hinzu — in realen Tests näher an 3 %. In einem unzensierten Netzwerk würden Sie etwa 95 Mbps über WireGuard und 92 Mbps über AmneziaWG 2.0 sehen. In einem zensierten Netzwerk beträgt der Vergleich 92 Mbps gegenüber null.

Die folgende Tabelle fasst die Parameter zusammen, die der Installer automatisch generiert:

Parameter	Generierter Bereich	Beispielwert
Jc (Anzahl der Junk-Pakete)	4–8	6
Jmin (min. Junk-Größe)	40–89	55
Jmax (max. Junk-Größe)	Jmin+100 bis Jmin+500	380
S1 (Initiierungs-Padding)	15–150	72
S2 (Antwort-Padding)	15–150, S1+56≠S2	56
S3 (Cookie-Padding)	8–55	32
S4 (Daten-Padding)	4–27	16
H1 (Initiierungs-Header-Bereich)	uint32 ohne Überlappung	234567-345678
H2 (Antwort-Header-Bereich)	uint32 ohne Überlappung	3456789-4567890
H3 (Cookie-Header-Bereich)	uint32 ohne Überlappung	56789012-67890123
H4 (Daten-Header-Bereich)	uint32 ohne Überlappung	456789012-567890123
I1 (CPS-Paket)	<r N> Format	<r 128&gt;

Sie müssen keinen dieser Parameter manuell festlegen. Der Installer generiert kryptographisch zufällige Werte, die die Einschränkungen jedes Mal erfüllen.

Jetzt, da Sie wissen, wie Obfuscation funktioniert, lassen Sie uns sehen, wie AmneziaWG im Vergleich zu Alternativen abschneidet, die Sie möglicherweise in Betracht ziehen.

---

AmneziaWG vs Alternativen — Schneller Entscheidungsleitfaden

Wenn Sie VPN-Protokolle für eine zensierte Umgebung bewerten, sind Ihnen wahrscheinlich mehrere Optionen begegnet. So vergleichen sie sich in Bezug auf wichtige Parameter:

	WireGuard	AmneziaWG 2.0	OpenVPN+obfs4	Shadowsocks	VLESS+Reality
DPI-Widerstand	Niedrig	Hoch	Mittel	Mittel	Sehr hoch
Geschwindigkeitsüberhead	~4%	<12% (~3% unter realen Bedingungen)	~25%	~8%	~10%
Vollständiger VPN-Tunnel	Ja	Ja	Ja	Nein (Proxy)	Nein (Proxy)
läuft im Kernel	Ja	Ja (DKMS)	Nein	Nein	Nein
Einrichtungs-Komplexität	Niedrig	Niedrig (mit Installer)	Hoch	Mittel	Hoch
Transport	UDP	UDP	TCP/UDP	TCP	TCP

Die Entscheidungsregeln sind einfach:

• Keine DPI in Ihrem Land? Verwenden Sie reguläres WireGuard. Es ist einfacher und hat ein breiteres Ökosystem.
• Benötigen Sie maximalen DPI-Schutz und haben nichts gegen Proxys? VLESS+Reality ist die stärkste Option für Obfuscation, aber es ist kein vollständiger Tunnel.
• Wollen Sie sowohl Geschwindigkeit als auch einen vollständigen Tunnel mit Obfuscation? AmneziaWG 2.0 ist die einzige Option, die WireGuard-Leistung mit echtem DPI-Schutz in einem vollständigen VPN-Tunnel bietet.
• Verwenden Sie bereits OpenVPN+obfs4 und es funktioniert immer noch? Kein dringender Bedarf zu wechseln, aber AmneziaWG wird spürbar schneller sein.

Dieser Artikel konzentriert sich auf AmneziaWG, da es das einzige Protokoll ist, das Ihnen einen vollständigen Tunnel, Kernel-Leistung und eingebaute Obfuscation bietet — alles mit einem einzigen Skript eingerichtet.

Wenn AmneziaWG die richtige Wahl für Ihre Situation ist, benötigen Sie Folgendes, bevor Sie mit der Bereitstellung beginnen.

---

Was Sie benötigen, bevor Sie beginnen

Bevor Sie den Installer ausführen, stellen Sie sicher, dass Ihre Umgebung diese Anforderungen erfüllt:

Anforderung	Details	Warum
Betriebssystem	Ubuntu 24.04 LTS (saubere Installation). Ubuntu 25.10 ist experimentell. Debian 12/13 funktioniert, benötigt jedoch möglicherweise curl vorinstalliert.	Der Installer wurde auf Ubuntu 24.04 getestet und wird vollständig unterstützt.
VPS-Spezifikationen	1 vCore, 1 GB RAM, 25 GB Speicher. Jeder Plan für 3–5 $/Monat ist geeignet.	Der Installer benötigt ~2 GB Speicherplatz und ~1 GB RAM während des DKMS-Baus. Das funktionierende VPN verwendet minimale Ressourcen.
Virtualisierung	KVM (nicht OpenVZ, nicht LXC).	AmneziaWG lädt das Kernel-Modul über DKMS. LXC verwendet einen gemeinsamen Host-Kernel und kann keine benutzerdefinierten Module laden.
SSH-Zugang	Root- oder sudo-Benutzer mit Passwort-/Schlüssel-Authentifizierung.	Der Installer muss als Root ausgeführt werden.
SSH-Port	Standard 22 oder vorab in UFW geöffnet, wenn ein nicht standardmäßiger Port verwendet wird.	Wenn SSH nicht auf Port 22 läuft und Sie ihn nicht im Voraus geöffnet haben, blockiert die Firewall-Konfiguration des Installers Sie.
Client-Anwendung	Amnezia VPN >= 4.8.12.7 (alle Plattformen).	Die AWG 2.0-Optionen werden von älteren Clients nicht verstanden. Der Standard-WireGuard-Client unterstützt AWG überhaupt nicht.

⚠️ Warnung: LXC-Container werden nicht unterstützt. Wenn Ihr VPS LXC-Virtualisierung verwendet, schlägt der DKMS-Kernel-Modul-Bau fehl. Sie müssen KVM oder Bare-Metal verwenden. Überprüfen Sie bei Ihrem Anbieter, wenn Sie sich nicht sicher sind.

⚠️ Warnung: Wenn Ihr SSH auf einem nicht standardmäßigen Port (alles außer 22) läuft, müssen Sie ihn in UFW öffnen, bevor Sie den Installer ausführen:
sudo ufw allow YOUR_PORT/tcp
Ersetzen Sie YOUR_PORT durch Ihren tatsächlichen SSH-Port. Der Installer enthält UFW mit einer Standardrichtlinie — wenn Ihr SSH-Port nicht erlaubt ist, werden Sie sofort blockiert.

💡 Hinweis: Warten Sie 5–10 Minuten, nachdem Sie Ihren VPS erstellt haben, bevor Sie den Installer ausführen. Cloud-init und Hintergrundinitialisierungsprozesse können mit den Aufrufen apt-get, die der Installer macht, in Konflikt stehen.

Mit Ihrem VPS bereit und den Voraussetzungen bestätigt, lassen Sie uns AmneziaWG 2.0 mit dem Community-Installer-Skript bereitstellen — der schnellste und transparenteste Weg.

---

Methode 1 — Bereitstellung mit dem CLI-Installer (Empfohlen)

Dies ist die primäre Installationsmethode. Sie laden ein versionsgebundenes Installationsskript herunter, führen es als Root aus, durchlaufen acht automatisierte Schritte (mit zwei erwarteten Neustarts) und enden mit einem vollständig konfigurierten AmneziaWG 2.0-Server. Der Installer kümmert sich um alles: Paketinstallation, Kernel-Modulkompilierung, Firewall-Konfiguration, Parameter-Generierung und Dienststart.

6.1 — Verbinden Sie sich mit Ihrem VPS über SSH

Öffnen Sie Ihr Terminal und verbinden Sie sich mit Ihrem Server:
ssh root@<SERVER_IP>
Ersetzen Sie <SERVER_IP> durch die tatsächliche öffentliche IP-Adresse Ihres VPS. Wenn Ihr Anbieter Ihnen einen Nicht-Root-Benutzer gegeben hat, melden Sie sich mit diesem Benutzer an und eskalieren Sie dann:
ssh <username>@<SERVER_IP>
sudo -i
Sie sollten das Willkommensbanner von Ubuntu 24.04 gefolgt von einer Root-Eingabeaufforderung sehen:
Welcome to Ubuntu 24.04 LTS (GNU/Linux 6.8.0-xx-generic x86_64)
...
root@vps:~#

6.2 — Laden Sie den Installer herunter und führen Sie ihn aus

Laden Sie das Installationsskript herunter, machen Sie es ausführbar und führen Sie es aus:

wget https://raw.githubusercontent.com/bivlked/amneziawg-installer/v5.8.1/install_amneziawg_en.sh

chmod +x install_amneziawg_en.sh

sudo bash ./install_amneziawg_en.sh

Die URL ist versionsgebunden auf v5.8.1 — die neueste Version vom April 2026. Dies ist die Sicherheit der Lieferkette: Sie stellt sicher, dass das heruntergeladene Skript mit der getesteten Version übereinstimmt, selbst wenn das Repository seitdem aktualisiert wurde.

Der Installer beginnt mit der Überprüfung Ihres Systems:

============================================
AmneziaWG 2.0 Installer v5.8.1
============================================
Checking system requirements...
OS: Ubuntu 24.04 LTS — OK
Virtualization: KVM — OK
RAM: 1024 MB — OK
Disk: 25 GB free — OK

Wenn eine Überprüfung fehlschlägt, stoppt der Installer und sagt Ihnen, warum. Beheben Sie das Problem und führen Sie den Befehl erneut aus.

6.3 — Durchlaufen Sie die Installer-Aufforderungen

Der Installer ist eine achtstufige Zustandsmaschine mit Unterstützung für das Fortsetzen nach dem Neustart. Er speichert seinen Fortschritt in /root/awg/awgsetup_cfg.init, sodass Sie, wenn der Server neu startet, einfach denselben Befehl erneut ausführen und dort weitermachen, wo er aufgehört hat.

Schritt 0: Initialisierung — Der Installer überprüft Ihr Betriebssystem, den Virtualisierungstyp, RAM und Speicherplatz. Er erstellt das /root/awg/ Arbeitsverzeichnis und richtet eine Sperrdatei ein, um parallele Ausführungen zu verhindern.

Schritt 1: Systemaktualisierung & Paketinstallation — Der Installer führt apt-get update && apt-get upgrade -y aus. Dann installiert er AmneziaWG, DKMS, Linux-Header, UFW, Fail2Ban, QR-Code-Generierungstools und andere Abhängigkeiten.

📝 Hinweis: Der Installer entfernt auch mehrere Hintergrunddienste, die Ressourcen auf minimalen VPS-Instanzen verbrauchen: snapd, modemmanager, networkd-dispatcher, unattended-upgrades, packagekit, lxd-agent-loader und udisks2. Dies ist beabsichtigt und sicher für minimale VPN-Knoten, kann jedoch allgemeine Umgebungen beeinträchtigen.

Wenn Schritt 1 abgeschlossen ist, fordert der Installer einen Neustart an:

Reboot required. Reboot now? [y/n]:

Geben Sie y ein und drücken Sie die Eingabetaste. Nachdem der Server wieder hochgefahren ist, melden Sie sich erneut über SSH an und führen Sie denselben Befehl erneut aus:

sudo bash ./install_amneziawg_en.sh

Das Skript liest seinen gespeicherten Zustand und fährt mit Schritt 2 fort, ohne erneut nach Aufforderungen zu fragen.

Schritt 2: DKMS-Kernel-Modul-Bau — Der Installer kompiliert das AmneziaWG-Kernel-Modul gegen Ihren aktuellen Kernel und registriert es bei DKMS für den automatischen Neuaufbau bei zukünftigen Kernel-Updates:

Step 2: Building AmneziaWG kernel module via DKMS...
Creating symlink /var/lib/dkms/amneziawg/2.0/source -> /usr/src/amneziawg-2.0
DKMS: add completed.
Kernel preparation completed.
Building module:
make -C /lib/modules/6.8.0-xx-generic/build M=/var/lib/dkms/amneziawg/2.0/build modules
DKMS: build completed.
DKMS: install completed.

Ein zweiter Neustart wird angefordert. Geben Sie y ein und drücken Sie die Eingabetaste.

📝 Hinweis: Zwei Neustarts während der Installation sind normal und zu erwarten. Der erste lädt neue Kernel-Header, der zweite aktiviert das neu erstellte Kernel-Modul. Das Skript speichert den Zustand zwischen den Neustarts — nichts geht verloren.

Nach dem zweiten Neustart melden Sie sich erneut an und führen Sie den Installer noch einmal aus:

sudo bash ./install_amneziawg_en.sh

Schritt 3: Überprüfung des Moduls nach dem Neustart — Das Skript überprüft, ob das Kernel-Modul geladen ist (lsmod | grep amneziawg). Wenn der DKMS-Bau aus irgendeinem Grund fehlgeschlagen ist, fällt es auf die Benutzerraum-Go-Implementierung mit einer Warnung über den höheren Overhead zurück.

Schritt 4: Firewall-Einrichtung — UFW wird mit einer Standardverweigerungspolitik aktiviert. Der Installer fügt eine SSH-Ratenbegrenzungsregel für Port 22 hinzu, öffnet Ihren VPN-Port für UDP-Verkehr und konfiguriert Routing-Regeln für die awg0-Schnittstelle.

Schritt 5: Herunterladen von Verwaltungs-Skripten — Die Client-Verwaltungsskripte (manage_amneziawg.sh und awg_common.sh) werden mit nur für den Eigentümer zugänglichen Berechtigungen (700) in /root/awg/ heruntergeladen. Diese sind ebenfalls versionsgebunden auf v5.8.1.

Schritt 6: Interaktive Konfiguration — Der Installer fragt nun vier Fragen:

• UDP-Port (Standard: 39743, Bereich 1024–65535). Der Standard ist ein zufälliger hoher Port — lassen Sie ihn so, es sei denn, Ihr ISP ist bekannt dafür, hohe UDP-Ports zu blockieren.
• Tunnel-Subnetz (Standard: 10.9.9.1/24). Dies ist Ihr internes VPN-Netzwerk. Der Server erhält .1, Clients erhalten .2 bis .254, was bis zu 253 Clients unterstützt.
• IPv6 deaktivieren (Standard: Y). Empfohlen — die Deaktivierung von IPv6 verhindert, dass Verkehr außerhalb des Tunnels auf IPv6-Routen durchsickert.
• Routing-Modus: Wählen Sie 1 für gesamten Verkehr, 2 für Amnezia-Liste + DNS (empfohlen) oder 3 für benutzerdefinierte Netzwerke. Modus 2 leitet nur blockierte öffentliche IP-Bereiche und DNS durch das VPN, wodurch der Zugriff auf Ihr lokales Netzwerk schnell und direkt bleibt.

💡 Hinweis: Die MTU ist standardmäßig auf 1280 eingestellt. Dies ist die minimale IPv6-MTU und ist entscheidend für mobile und zellulare Netzwerke. iOS ist streng bei der Pfad-MTU-Entdeckung, und zellulare Netzwerke haben oft eine effektive MTU unter dem Standard von 1420 von WireGuard. Lassen Sie dies auf 1280.

Schritt 7: Dienststart — Der Installer generiert die Serverkonfiguration in /etc/amnezia/amneziawg/awg0.conf, erstellt zwei Standard-Client-Konfigurationen (my_phone und my_laptop) in /root/awg/, generiert QR-Codes und startet den awg-quick@awg0 systemd-Dienst.

Schritt 8: Abschluss — Sie sehen die Erfolgsmeldung:

Der Installer generiert alle AmneziaWG 2.0 Obfuscation-Parameter automatisch. Sie müssen sie nicht berühren. Jeder Server erhält ein einzigartiges Set von Werten — es gibt keinen universellen Fingerabdruck für DPI-Systeme zur Erkennung.

6.4 — Verwaltung von Clients nach der Installation

Das Verwaltungsskript in /root/awg/manage_amneziawg.sh kümmert sich um alle Lebenszyklusoperationen der Clients. Hier sind die wesentlichen Befehle:

Fügen Sie einen neuen Client hinzu:

sudo bash /root/awg/manage_amneziawg.sh add my_desktop

Dies generiert eine .conf-Datei, einen QR-Code und eine .vpnuri-Datei für den neuen Client. Die Serverkonfiguration wird hot-reloaded — kein Dienstneustart erforderlich.

Fügen Sie einen temporären, automatisch ablaufenden Client hinzu:

sudo bash /root/awg/manage_amneziawg.sh add guest --expires=7d

Ein Cron-Job überprüft alle fünf Minuten und entfernt automatisch den Client, wenn er abläuft. Die Konfiguration, Schlüssel und Servereintrag werden alle bereinigt.

Liste aller Clients:

sudo bash /root/awg/manage_amneziawg.sh list

Clients:
  my_phone     (10.9.9.2/32)
  my_laptop    (10.9.9.3/32)
  my_desktop   (10.9.9.4/32)
  guest        (10.9.9.5/32) [expires in 6d 23h]

Fügen Sie das -v-Flag für zusätzliche Details einschließlich öffentlicher Schlüssel und Erstellungsdaten hinzu.

Entfernen Sie einen Client:

sudo bash /root/awg/manage_amneziawg.sh remove guest

Überprüfen Sie den vollständigen Serverstatus:

sudo bash /root/awg/manage_amneziawg.sh check

Dies zeigt den Dienststatus, den offenen Port, alle AWG 2.0-Parameter, den Status des Kernel-Moduls, den UFW-Status und den Fail2Ban-Status in einer Ansicht.

Sehen Sie sich die Verkehrsstatistiken pro Client an:

sudo bash /root/awg/manage_amneziawg.sh stats

Client          Received        Sent            Latest handshake
───────────────────────────────────────────────────────────────────
my_phone        1.24 GiB        356.7 MiB       2 minutes ago
my_laptop       892.3 MiB       128.4 MiB       15 seconds ago
my_desktop      0 B             0 B             (none)

Erstellen Sie ein Backup:

sudo bash /root/awg/manage_amneziawg.sh backup

Dies erstellt ein komprimiertes Archiv in /root/awg/backups/, das Ihre Serverkonfiguration, Clientkonfigurationen, Schlüssel und Ablaufdaten enthält.

📝 Hinweis: Die add– und remove-Befehle verwenden awg syncconf für hot-reload. Die Serverkonfiguration wird sofort aktualisiert, ohne den Dienst neu zu starten. Verwenden Sie restart nur, wenn Sie serverseitige Parameter wie den Port oder die MTU ändern.

6.5 — Überprüfen Sie, ob der Server läuft

Führen Sie diese Überprüfungen durch, um zu bestätigen, dass alles betriebsbereit ist:

Überprüfen Sie den systemd-Dienst:

sudo systemctl status awg-quick@awg0

● awg-quick@awg0.service - AmneziaWG Quick via awg-quick(8) for awg0
     Loaded: loaded (/lib/systemd/system/awg-quick@.service; enabled)
     Active: active (exited) since Thu 2026-04-09 14:32:01 UTC

Überprüfen Sie den AmneziaWG-Status und die Parameter:

sudo awg show awg0

Überprüfen Sie die Firewall:

sudo ufw status verbose

Status: active
Default: deny (incoming), allow (outgoing)
22/tcp                     LIMIT IN    Anywhere
39743/udp                  ALLOW IN    Anywhere

Überprüfen Sie Fail2Ban:

sudo fail2ban-client status sshd

Status for the jail: sshd
|- Filter
|  |- Currently failed: 0
|  `- Total failed: 0
`- Actions
   |- Currently banned: 0
   `- Banned IP list:

Überprüfen Sie das DKMS-Kernel-Modul:

dkms status

amneziawg/1.0.0, 6.8.0-110-generic, x86_64: installed

Wenn alle fünf Überprüfungen bestanden werden, läuft Ihr AmneziaWG 2.0-Server und ist bereit, Verbindungen zu akzeptieren.

Ihr Server läuft und ist verifiziert. Wenn Sie einen GUI-gesteuerten Ansatz anstelle des Terminals bevorzugen, finden Sie hier die alternative Methode mit der AmneziaVPN-App.

---

Methode 2 — Bereitstellung mit der AmneziaVPN-App (Alternative)

Die AmneziaVPN-Desktopanwendung kann AmneziaWG automatisch auf Ihrem Server über SSH installieren. Sie verwendet dasselbe zugrunde liegende Installationsskript wie die CLI-Methode, verpackt jedoch alles in einer geführten Oberfläche. Dies ist ideal, wenn Sie eine unkomplizierte Installationserfahrung wünschen.

1. Laden Sie AmneziaVPN von amnezia.org/en/downloads herunter. Es ist für Windows, macOS, Linux, Android und iOS verfügbar.
2. Öffnen Sie die App und klicken Sie auf das ➕ (Plus-Symbol) oder Loslegen.
3. Wählen Sie “Selbstgehostetes VPN” aus den angezeigten Optionen.
4. Geben Sie Ihre Serveranmeldeinformationen ein:
   • Server-IP-Adresse (und Port, wenn SSH nicht auf 22 ist, z.B. 203.0.113.10:2221)
   • SSH-Benutzername (z.B. root)
   • Passwort oder SSH-Privatschlüssel
5. Wählen Sie den Installationstyp:
   • Automatisch — installiert nur AmneziaWG (empfohlen)
   • Manuell — wählen Sie ein spezifisches Protokoll aus der Liste
6. Klicken Sie auf “Installieren” — die App verbindet sich über SSH mit Ihrem Server und führt die Installation automatisch aus. Sie sehen einen Fortschrittsindikator.
7. Nach der Installation erstellt die App ein einsatzbereites VPN-Verbindungsprofil.

Hinweise zur Nachinstallation:

• Die App installiert AmneziaWG standardmäßig mit einem zufälligen Port. Einige ISPs blockieren UDP auf hohen Ports. Die App empfiehlt, auf einen Port unter 9999 (wie 585 oder 1234) zu wechseln. Um dies zu ändern: Klicken Sie auf das Zahnradsymbol neben der Verbindung → Registerkarte Verwaltung → ändern Sie die Portnummer.
• Wenn auf Ihrem Server bereits Amnezia-Software installiert ist, klicken Sie während der Erstellung der Verbindung auf “Einrichtung überspringen” und verwenden Sie dann “Überprüfen Sie den Server auf zuvor installierte Amnezia-Dienste” in der Registerkarte Verwaltung.

So vergleichen sich die beiden Methoden:

Aspekt	CLI-Installer	AmneziaVPN-App
Kontrolle	Vollständig — Sie sehen jeden Schritt, können anpassen	Begrenzt — die App kümmert sich um alles
Sichtbarkeit	Transparent — alle Befehle sichtbar	Undurchsichtig — läuft im Hintergrund
Flexibilität	Benutzerdefiniertes Routing, Endpunkt, Flags	Verwendet nur Standardwerte
Benutzerfreundlichkeit	Erfordert SSH-Vertrautheit	Keine Terminalarbeit
Verwaltung	Vollständige manage_amneziawg.sh-Suite	App-basierte Verwaltung nur
Am besten für	Unverwaltete VPS, Fehlersuche	Schnelle Einrichtung, geführte Erfahrung

Egal, ob Sie die CLI oder die App verwendet haben, Ihr Server ist bereit. Lassen Sie uns jetzt Ihr erstes Gerät verbinden.

---

Verbindung Ihres ersten Clients

Nach der Installation haben Sie drei Möglichkeiten, die Client-Konfiguration in die Amnezia VPN-App zu importieren. Wählen Sie die, die zu Ihrem Gerät passt.

Methode A: QR-Code (Mobil)

Der Installer generierte einen QR-Code in /root/awg/my_phone.png. Laden Sie ihn auf Ihren Computer herunter:

scp root@<SERVER_IP>:/root/awg/my_phone.png .

Öffnen Sie die PNG-Datei auf Ihrem Bildschirm. Öffnen Sie auf Ihrem Telefon die Amnezia VPN-App, tippen Sie auf “VPN hinzufügen” → “QR-Code scannen” und richten Sie Ihre Kamera auf den QR-Code auf Ihrem Bildschirm. Die Verbindung wird automatisch importiert.

Methode B: vpn:// URI (Amnezia-Client)

Zeigen Sie die komprimierte URI auf Ihrem Server an:

cat /root/awg/my_phone.vpnuri

Kopieren Sie die gesamte vpn://…-Zeichenfolge und senden Sie sie sich selbst — über Telegram, E-Mail oder eine Notizen-App. Öffnen Sie auf Ihrem Telefon die Amnezia VPN-App, tippen Sie auf “VPN hinzufügen” → “Aus Zwischenablage einfügen”. Die Konfiguration wird in einem Schritt importiert.

Die URI ist eine zlib-komprimierte, Base64-kodierte Version der vollständigen Konfigurationsdatei. Sie ist kompakt und für schnelles Teilen konzipiert.

Methode C: .conf-Datei (Desktop/Windows)

Laden Sie die Konfigurationsdatei herunter:

scp root@<SERVER_IP>:/root/awg/my_phone.conf .

Öffnen Sie den AmneziaWG für Windows-Client oder die AmneziaVPN-Desktop-App, klicken Sie auf “Tunnel(s) aus Datei importieren” und wählen Sie die .conf-Datei aus.

Überprüfen Sie die Verbindung

Sobald Sie verbunden sind, überprüfen Sie, ob der Tunnel Ihren Verkehr über den Server leitet:
curl ifconfig.me
Die Ausgabe sollte die öffentliche IP-Adresse Ihres Servers anzeigen, nicht Ihre lokale: 203.0.113.1

Für mehr Details, einschließlich des geografischen Standorts des Servers:

curl -s https://ipinfo.io/json

{
  "ip": "203.0.113.1",
  "city": "Amsterdam",
  "region": "North Holland",
  "country": "NL",
  ...
}

⚠️ Warnung: Der Standard-WireGuard-Client funktioniert nicht mit AmneziaWG 2.0-Konfigurationen. Sie müssen die Amnezia VPN-App (Version 4.8.12.7 oder später) oder einen nativen AmneziaWG-Client (Version 2.0.0 oder später auf Windows/Android/iOS) verwenden.

⚠️ Warnung: Wenn Sie “Ungültiger Schlüssel: s3” unter Windows sehen, ist Ihr AmneziaWG Windows-Client veraltet (Version unter 2.0.0). Aktualisieren Sie auf Version 2.0.0+ oder wechseln Sie zur Amnezia VPN-App.

💡 Hinweis: Wenn Sie verbunden sind, aber kein Internet haben, überprüfen Sie, ob Ihre Client-Konfiguration MTU = 1280 im Abschnitt [Interface] hat. Dies ist die häufigste Ursache für “Handshake erfolgreich, aber kein Verkehr” in mobilen Netzwerken.

Herzlichen Glückwunsch! Ihr VPN-Tunnel funktioniert.

---

Was als Nächstes — Erweiterung Ihrer Einrichtung

Sie haben jetzt einen DPI-resistenten VPN-Tunnel, der auf Ihrem eigenen Server läuft, unter Ihrer Kontrolle, mit WireGuard-Geschwindigkeit. Der stille Paketverlust, der Ihre WireGuard-Verbindung getötet hat, ist kein Problem mehr — Ihr Verkehr sieht aus wie nichts, was ein DPI-System zuverlässig identifizieren kann.

Hier sind die nützlichsten Dinge, die Sie als Nächstes tun können:

1. Fügen Sie Clients für Ihre Familie oder Ihr Team hinzu — verwenden Sie das Verwaltungsskript, um Konfigurationen für jedes Gerät zu generieren, das Zugriff benötigt.
2. Konfigurieren Sie Split Tunneling, wenn Sie keine vollständige Tunnel-Routing benötigen — es hält den lokalen Verkehr schnell und reduziert die Bandbreite auf Ihrem VPS.
3. Sichern Sie Ihre Konfigurationen — führen Sie den Backup-Befehl aus und speichern Sie das Archiv an einem sicheren Ort. Wenn Ihr Server jemals neu aufgebaut werden muss, ist dies das, was Sie davor bewahrt, von vorne zu beginnen.

Konfigurieren Sie Split Tunneling, wenn Sie nicht möchten, dass der gesamte Verkehr über das VPN geleitet wird. Dies ist besonders nützlich in Ländern mit teilweiser Zensur — leiten Sie nur blockierte Seiten durch den Tunnel und halten Sie den lokalen Verkehr direkt:

sudo bash /root/awg/manage_amneziawg.sh modify my_phone AllowedIPs "192.168.1.0/24,10.0.0.0/8"

Ändern Sie Ihren Client-DNS, wenn Sie andere Resolver bevorzugen:

sudo bash /root/awg/manage_amneziawg.sh modify my_phone DNS "8.8.8.8,1.0.0.1"

Passen Sie PersistentKeepalive an, wenn Sie sich in einer aggressiven NAT-Umgebung befinden. Der Standardwert von 33 Sekunden hält die UDP-Sitzung durch NAT aufrecht — das Senken auf 25 kann in Netzwerken helfen, die inaktive UDP-Sitzungen schnell abbrechen:

sudo bash /root/awg/manage_amneziawg.sh modify my_phone PersistentKeepalive 25

Installieren Sie es auf Ihrem Router für eine Abdeckung des gesamten Netzwerks. AmneziaWG wird auf Keenetic-Routern über AWG Manager und auf ASUS-Routern, die Asuswrt-Merlin ausführen, über AmneziaWG für Merlin unterstützt.

Sichern Sie jetzt Ihre Konfiguration, bevor sich etwas ändert:

sudo bash /root/awg/manage_amneziawg.sh backup

Wenn Sie jemals auf einen neuen Server migrieren müssen, führen Sie eine frische Installation durch und dann:

sudo bash /root/awg/manage_amneziawg.sh restore
sudo bash /root/awg/manage_amneziawg.sh regen

Der restore-Befehl bringt Ihre Konfigurationen und Schlüssel zurück, und regen aktualisiert die Client-Konfigurationen mit der neuen Server-IP.

Für tiefere Dokumentation finden Sie die offiziellen Amnezia-Dokumente unter docs.amnezia.org und die Community ist aktiv auf Telegram.

Fazit

Nachdem Sie die vollständige Einrichtung durchlaufen haben, fällt auf, dass AmneziaWG 2.0 nicht nur funktioniert — sondern warum es zuverlässig funktioniert, wo andere scheitern. Indem es den bewährten kryptographischen Kern von WireGuard bewahrt und gleichzeitig grundlegend ändert, wie der Verkehr im Netzwerk aussieht, umgeht es die genauen Schwächen, die Deep Packet Inspection ausnutzt. Das Ergebnis ist eine Einrichtung, die sich in der Praxis genauso schnell und einfach anfühlt wie WireGuard, aber viel widerstandsfähiger in feindlichen Umgebungen ist. Nach der Bereitstellung wird der Wert offensichtlich: Sie betreiben nicht nur ein VPN — Sie betreiben eines, das darauf ausgelegt ist, echte Blockaden zu überstehen.

Wenn Sie nach einem zuverlässigen VPS suchen, um Ihren AmneziaWG-Server zu hosten — oder zusätzliche Endpunkte für Teammitglieder skalieren müssen — AvaHost bietet KVM-Virtualisierung mit vollem Root-Zugriff, NVMe-Speicher und Ubuntu 24.04-Unterstützung, die diese Einrichtung erfordert. Ihre Infrastruktur ist speziell für die Art von selbstgehosteten Bereitstellungen ausgelegt, die dieser Leitfaden behandelt.