Guida all’installazione di AmneziaWG

Parole chiave

Parola chiave	Definizione
🛡️ AmneziaWG	Un fork di WireGuard che randomizza le intestazioni dei pacchetti, le dimensioni e i tempi di trasmissione per contrastare l’ispezione approfondita dei pacchetti mantenendo la stessa crittografia provata. Questo è un protocollo che gira sul tuo server.
🚀 AmneziaWG 2.0	La versione principale attuale che utilizza intervalli di intestazione dinamici (invece di valori fissi), aggiunge padding a livello di dati (S4) e supporta pacchetti sostitutivi con una firma di protocollo personalizzata per una maggiore evasione DPI.
🔍 Ispezione approfondita dei pacchetti (DPI)	Una tecnica di filtraggio della rete utilizzata da ISP ed enti governativi per identificare e bloccare il traffico VPN analizzando le intestazioni dei pacchetti, le dimensioni e i modelli di handshake. AmneziaWG è progettato specificamente per contrastare questo.
⚡ WireGuard	Un protocollo VPN veloce e moderno con una piccola base di codice e prestazioni a livello di kernel. È facilmente identificabile dai sistemi DPI a causa della sua struttura fissa dei pacchetti, che è stata affrontata in AmneziaWG.
🏠 VPN auto-ospitata	Una VPN che distribuisci e gestisci sul tuo server (tipicamente un VPS) anziché abbonarti a un fornitore commerciale. Controlli le chiavi, la configurazione e l’infrastruttura.
🐧 DKMS (Supporto per moduli del kernel dinamici)	Un framework Linux che ricompila automaticamente i moduli del kernel quando il kernel di sistema viene aggiornato. L’installer di AmneziaWG utilizza DKMS per costruire un modulo del kernel ad alte prestazioni.
🎭 Offuscamento	La pratica di travestire il traffico VPN per farlo apparire come traffico internet normale. AmneziaWG offusca a livello di trasporto randomizzando le intestazioni, aggiungendo padding, inviando pacchetti sostitutivi e generando pacchetti spazzatura.
🔀 Tunneling diviso	Una configurazione di routing in cui solo il traffico specifico (ad es., siti bloccati) passa attraverso la VPN mentre altro traffico utilizza la tua connessione diretta. Utile in paesi con censura parziale.
🖥️ KVM vs LXC	KVM è virtualizzazione completa con un kernel dedicato necessario per caricare moduli del kernel personalizzati come AmneziaWG. LXC è virtualizzazione di container che utilizza il kernel condiviso dell’host e non può caricare moduli personalizzati.
🎪 CPS (Firma di protocollo personalizzata)	Una funzionalità di AmneziaWG 2.0 che invia pacchetti sostitutivi che imitano altri protocolli (QUIC, DNS, SIP) prima dell’effettivo handshake, fuorviando i sistemi DPI classificando il traffico come normale.

---

Server VPN AmneziaWG auto-distribuito — Guida completa

AmneziaWG è un protocollo progettato per risolvere un problema specifico: come raggiungere le velocità di WireGuard quando le reti a cui ti connetti cercano attivamente di bloccarlo? È un fork di WireGuard creato dal team di Amnezia VPN, e fa ciò che l’originale non fa: randomizza il livello di trasporto in modo che i sistemi di ispezione approfondita dei pacchetti non possano identificarlo. La crittografia rimane esattamente la stessa. Cambia solo l’aspetto dei pacchetti nella rete.

Il vasto panorama dell’offuscamento VPN è stata una corsa agli armamenti nel corso degli anni. Strumenti come Shadowsocks, VLESS+Reality e OpenVPN con obfs4 tentano di travestire il traffico in vari modi: alcuni come proxy, alcuni come tunnel completi, alcuni con costi di prestazione elevati. AmneziaWG occupa una nicchia specifica: è un tunnel VPN completo con prestazioni a livello di WireGuard e protezione DPI integrata, tutto in un unico pacchetto. E poiché è open-source, puoi distribuirlo sul tuo server.

Ma ecco il problema che rende questo necessario. Configuri WireGuard. Funziona perfettamente: veloce, pulito, affidabile. Poi un bel giorno, si ferma. Nessun messaggio di errore, nessun timeout, nessun rifiuto di connessione. I pacchetti semplicemente scompaiono. Questo è ciò che sembra il blocco DPI nella pratica: il tuo tunnel è ancora operativo, la tua configurazione è ancora corretta e nulla passa attraverso. Questa è la realtà in Russia (dove WireGuard ha circa il 12% di tasso di successo), Iran (98% di perdita di pacchetti) e un numero crescente di paesi tra cui Cina, Egitto, UAE, Turchia, Bielorussia, Uzbekistan, Kazakistan, Myanmar e Pakistan.

Le alternative tradizionali non risolvono completamente questo problema. Shadowsocks è un proxy, non un tunnel VPN completo: il tuo DNS e il traffico non TCP continueranno a fuoriuscire. OpenVPN con obfs4 funziona ma ha circa il 25% di sovraccarico di prestazione. VLESS+Reality offre una forte offuscamento ma è basato su proxy e complesso da configurare. AmneziaWG colma il divario: è un tunnel VPN completo con prestazioni a livello di WireGuard e protezione DPI integrata.

Questa guida ti guiderà attraverso la distribuzione di un server AmneziaWG 2.0 completamente funzionale su qualsiasi VPS KVM in meno di 15 minuti utilizzando un singolo script di installazione della community. Alla fine, avrai un tunnel VPN funzionante a cui puoi connetterti da qualsiasi dispositivo. I passaggi sono indipendenti dal fornitore: funzionano su qualsiasi VPS con accesso SSH e privilegi di root, sia da AvaHost che da un altro. Questo è scritto per utenti con un livello intermedio di competenze tecniche che si sentono a proprio agio a lavorare con SSH e comandi Linux di base.

Una precisazione prima di iniziare: AmneziaWG è un protocollo. AmneziaVPN è un’applicazione client che si connette ad esso. Sono correlati ma distinti: come TLS per il tuo browser. Avrai bisogno di un’applicazione per connetterti, ma il protocollo è ciò che gira sul tuo server.

Ma prima di distribuire qualsiasi cosa, devi capire cosa rende AmneziaWG diverso da WireGuard — e perché quella differenza è importante quando DPI ti sta osservando.

---

Cos’è AmneziaWG? (Modello mentale)

WireGuard è elegante nel suo design. Ha una piccola base di codice, utilizza crittografia moderna e gira nel kernel Linux per prestazioni quasi native. Ma questa eleganza ha un problema di visibilità: ogni pacchetto WireGuard porta la stessa struttura di intestazione fissa, le stesse dimensioni fisse dei pacchetti e lo stesso modello di handshake. Per un sistema di ispezione approfondita dei pacchetti, il tunnel WireGuard ha una firma chiara come un codice a barre. Una volta che un dispositivo DPI apprende questa firma, può eliminare ogni pacchetto senza bloccare la porta o chiudere la connessione.

AmneziaWG è un fork di WireGuard-Go creato dal team di Amnezia VPN. Ha ereditato la semplicità architettonica di WireGuard: lo stesso scambio di chiavi Curve25519, la stessa crittografia ChaCha20-Poly1305, lo stesso handshake Noise IK. Tutta la crittografia rimane invariata ed è anche verificata. Ciò che AmneziaWG cambia è il livello di trasporto: intestazioni dei pacchetti, dimensioni dei pacchetti e modelli di temporizzazione.

Pensalo in questo modo. WireGuard è come un corriere che indossa sempre la stessa uniforme: veloce, affidabile ed efficiente. Ma chiunque osservi la strada impara a riconoscere quell’uniforme e può fermare il corriere a qualsiasi checkpoint. AmneziaWG è lo stesso corriere che trasporta gli stessi pacchi, ma cambia la sua uniforme a ogni checkpoint. La stessa persona, la stessa merce, un aspetto completamente diverso.

La storia delle versioni è importante. AmneziaWG 1.x ha introdotto intestazioni personalizzate che differivano dai valori fissi di WireGuard: questo ha aiutato per un certo periodo, ma i sistemi DPI si sono adattati. AmneziaWG 2.0, rilasciato alla fine del 2025, randomizza tutto: le intestazioni cambiano da pacchetto a pacchetto, il padding varia da messaggio a messaggio e i pacchetti sostitutivi imitano altri protocolli prima dell’effettivo handshake. Non esiste una firma universale per la rilevazione perché ogni server AmneziaWG 2.0 genera il proprio set unico di parametri. Ogni server parla il proprio dialetto.

Quando tutti i parametri di offuscamento sono impostati a zero, AmneziaWG si comporta in modo identico a WireGuard: è completamente retrocompatibile a livello di protocollo. Ma con parametri attivi (che è l’impostazione predefinita), diventa ciò che WireGuard non può essere: un tunnel VPN veloce che i sistemi DPI faticano a identificare.

Quindi, come fa esattamente AmneziaWG a crittografare il suo traffico? Vediamo i quattro livelli di offuscamento che rendono ciechi i DPI — e perché aggiungono quasi nessun costo di velocità.

---

Come AmneziaWG si nasconde dai DPI (senza perdita di velocità)

AmneziaWG 2.0 utilizza quattro livelli di offuscamento che lavorano insieme. Ognuno mira a un modo diverso in cui i sistemi DPI identificano il traffico VPN. Insieme, rendono il traffico di ogni server unico.

Intestazioni dinamiche (H1–H4)

WireGuard utilizza identificatori di tipo messaggio fissi a 32 bit:

• 1 — per l’inizio
• 2 — per la risposta
• 3 — per la risposta con cookie
• 4 — per i dati

Un dispositivo DPI che scansiona il traffico cerca semplicemente questi valori. AmneziaWG 2.0 sostituisce ogni valore fisso con un numero casuale scelto da un intervallo specificato. L’intestazione di inizio (H1) può essere qualsiasi valore da 234567 a 345678. L’intestazione di risposta (H2) può essere da 3456789 a 4567890. Questi intervalli non si sovrappongono mai: il protocollo deve ancora distinguere i tipi di pacchetto internamente — ma per un osservatore esterno, non c’è un singolo valore di intestazione su cui aggrapparsi. Ogni pacchetto appare diverso dal precedente.

Padding casuale (S1–S4)

Il pacchetto di inizio di WireGuard è sempre esattamente di 148 byte. La sua risposta è sempre esattamente di 92 byte. Queste dimensioni fisse sono un’altra impronta digitale. AmneziaWG aggiunge padding casuale a ciascun tipo di pacchetto: l’inizio diventa 148+S1 byte, la risposta diventa 92+S2 byte, la risposta con cookie diventa 64+S3 byte e ciascun pacchetto di dati riceve S4 byte di padding. S3 e S4 sono nuovi nella versione 2.0 — e S4 è l’aggiunta più significativa, poiché influisce su ogni singolo pacchetto di dati, rendendo molto più difficile l’analisi del traffico a livello di sessione.

C’è un vincolo critico: S1+56 non deve essere uguale a S2. Poiché la differenza di dimensione originale tra inizio e risposta è di 56 byte (148−92), se i valori di padding compensano casualmente esattamente quella differenza, due pacchetti imbottiti finiranno per avere la stessa dimensione — ricreando l’impronta digitale che AmneziaWG sta cercando di eliminare. Il generatore di parametri dell’installer garantisce automaticamente questo vincolo.

Firma di protocollo personalizzata (I1–I5)

Prima che inizi l’effettivo handshake, il client AmneziaWG invia fino a cinque pacchetti sostitutivi che imitano altri protocolli — QUIC, DNS, SIP o modelli di byte personalizzati. Il server ignora completamente questi pacchetti. Aspetta semplicemente il vero handshake.

• Configurazione semplice: Invia 128 byte casuali <r 128>.
• Configurazione complessa: Invia byte che sembrano avviare una connessione QUIC (<b 0xc000000001><r 64><t>), con un timestamp Unix.

Per un sistema DPI che osserva l’inizio della sessione, i primi pacchetti sembrano traffico web normale.

Pacchetti spazzatura (Jc, Jmin, Jmax)

Dopo i pacchetti sostitutivi, il client invia un numero personalizzabile di pacchetti spazzatura — puro rumore con dimensioni casuali da Jmin a Jmax. Questi pacchetti sfocano il profilo di temporizzazione e dimensione dell’inizio della sessione, rendendo più difficile per i sistemi DPI identificare dove inizia il vero handshake.

Domanda sulla velocità

Circola un numero su internet: AmneziaWG ha un sovraccarico del 65%. Questa cifra è reale, ma si riferisce all’implementazione Go nello spazio utente — non al modulo del kernel. L’installer della community utilizzato in questa guida costruisce un modulo del kernel DKMS, e il modulo del kernel aggiunge meno del 12% di sovraccarico complessivo — più vicino al 3% nei test reali. Su una rete non censurata, vedresti circa 95 Mbps tramite WireGuard e 92 Mbps tramite AmneziaWG 2.0. Su una rete censurata, il confronto è 92 Mbps contro zero.

La seguente tabella riassume i parametri che l’installer genera automaticamente:

Parametro	Intervallo generato	Valore di esempio
Jc (numero di pacchetti spazzatura)	4–8	6
Jmin (dimensione minima spazzatura)	40–89	55
Jmax (dimensione massima spazzatura)	Jmin+100 a Jmin+500	380
S1 (padding di inizio)	15–150	72
S2 (padding di risposta)	15–150, S1+56≠S2	56
S3 (padding di cookie)	8–55	32
S4 (padding di dati)	4–27	16
H1 (intervallo intestazione di inizio)	uint32 senza sovrapposizione	234567-345678
H2 (intervallo intestazione di risposta)	uint32 senza sovrapposizione	3456789-4567890
H3 (intervallo intestazione di cookie)	uint32 senza sovrapposizione	56789012-67890123
H4 (intervallo intestazione di dati)	uint32 senza sovrapposizione	456789012-567890123
I1 (pacchetto CPS)	<r N> formato	<r 128&gt;

Non è necessario impostare manualmente nessuno di questi parametri. L’installer genera valori casuali crittograficamente che soddisfano i vincoli ogni volta.

Ora che sai come funziona l’offuscamento, vediamo come AmneziaWG si confronta con le alternative che potresti considerare.

---

AmneziaWG vs Alternative — Guida rapida per la decisione

Se stai valutando protocolli VPN per un ambiente censurato, probabilmente hai incontrato diverse opzioni. Ecco come si confrontano su parametri chiave:

	WireGuard	AmneziaWG 2.0	OpenVPN+obfs4	Shadowsocks	VLESS+Reality
Resistenza DPI	Bassa	Alta	Media	Media	Molto Alta
Sovraccarico di velocità	~4%	<12% (~3% in condizioni reali)	~25%	~8%	~10%
Tunnel VPN completo	Sì	Sì	Sì	No (proxy)	No (proxy)
Funziona nel kernel	Sì	Sì (DKMS)	No	No	No
Complessità di configurazione	Bassa	Bassa (con installer)	Alta	Media	Alta
Trasporto	UDP	UDP	TCP/UDP	TCP	TCP

Le regole decisionali sono semplici:

• Nessun DPI nel tuo paese? Usa WireGuard normale. È più facile e ha un ecosistema più ampio.
• Hai bisogno della massima protezione DPI e non ti dispiace i proxy? VLESS+Reality è l’opzione più forte per l’offuscamento, ma non è un tunnel completo.
• Vuoi sia velocità che un tunnel completo con offuscamento? AmneziaWG 2.0 è l’unica opzione che offre prestazioni a livello di WireGuard con vera protezione DPI in un tunnel VPN completo.
• Stai già usando OpenVPN+obfs4 e funziona ancora? Nessuna necessità urgente di passare, ma AmneziaWG sarà visibilmente più veloce.

Questo articolo si concentra su AmneziaWG perché è l’unico protocollo che ti offre un tunnel completo, prestazioni a livello di kernel e offuscamento integrato — tutto impostato con un singolo script.

Se AmneziaWG è la scelta giusta per la tua situazione, ecco cosa ti serve prima di iniziare la distribuzione.

---

Cosa ti serve prima di iniziare

Prima di eseguire l’installer, assicurati che il tuo ambiente soddisfi questi requisiti:

Requisito	Dettagli	Perché
OS	Ubuntu 24.04 LTS (installazione pulita). Ubuntu 25.10 è sperimentale. Debian 12/13 funziona ma potrebbe richiedere curl pre-installato.	L’installer è testato e completamente supportato su Ubuntu 24.04.
Specifica VPS	1 vCore, 1 GB RAM, 25 GB di storage. Qualsiasi piano per $3–5/mese è adatto.	L’installer richiede ~2 GB di spazio su disco e ~1 GB di RAM durante la costruzione DKMS. La VPN funzionante utilizza risorse minime.
Virtualizzazione	KVM (non OpenVZ, non LXC).	AmneziaWG carica il modulo del kernel tramite DKMS. LXC utilizza un kernel condiviso dell’host e non può caricare moduli personalizzati.
Accesso SSH	Utente root o sudo con autenticazione a password/chiave.	L’installer deve essere eseguito come root.
Porta SSH	Predefinita 22 o pre-aperta in UFW se si utilizza una porta non standard.	Se SSH non è in esecuzione sulla porta 22 e non l’hai aperta in anticipo, la configurazione del firewall dell’installer ti bloccherà.
Applicazione client	Amnezia VPN >= 4.8.12.7 (tutte le piattaforme).	Le opzioni AWG 2.0 non sono comprese dai client più vecchi. Il client WireGuard standard non supporta affatto AWG.

⚠️ Attenzione: I container LXC non sono supportati. Se il tuo VPS utilizza virtualizzazione LXC, la costruzione del modulo del kernel DKMS fallirà. Devi usare KVM o bare-metal. Controlla con il tuo fornitore se non sei sicuro.

⚠️ Attenzione: Se il tuo SSH è in esecuzione su una porta non standard (qualsiasi cosa diversa da 22), devi aprire in UFW prima di eseguire l’installer:
sudo ufw allow YOUR_PORT/tcp
Sostituisci YOUR_PORT con la tua reale porta SSH. L’installer include UFW con una politica predefinita — se la tua porta SSH non è consentita, verrai immediatamente bloccato.

💡 Suggerimento: Aspetta 5–10 minuti dopo aver creato il tuo VPS prima di eseguire l’installer. Cloud-init e i processi di inizializzazione in background potrebbero confliggere con le chiamate apt-get che l’installer effettua.

Con il tuo VPS pronto e i requisiti confermati, procediamo a distribuire AmneziaWG 2.0 utilizzando lo script di installazione della community — il metodo più veloce e trasparente.

---

Metodo 1 — Distribuisci con l’installer CLI (Consigliato)

Questo è il metodo di installazione principale. Scaricherai uno script di installazione fissato alla versione, lo eseguirai come root, passerai attraverso otto passaggi automatizzati (con due riavvii previsti) e finirai con un server AmneziaWG 2.0 completamente configurato. L’installer gestisce tutto: installazione dei pacchetti, compilazione del modulo del kernel, configurazione del firewall, generazione dei parametri e avvio del servizio.

6.1 — Connettiti al tuo VPS tramite SSH

Apri il tuo terminale e connettiti al tuo server:
ssh root@<SERVER_IP>
Sostituisci <SERVER_IP> con l’indirizzo IP pubblico reale del tuo VPS. Se il tuo fornitore ti ha dato un utente non root, accedi con quell’utente e poi esegui l’escamotage:
ssh <username>@<SERVER_IP>
sudo -i
Dovresti vedere il banner di benvenuto di Ubuntu 24.04 seguito da un prompt di root:
Welcome to Ubuntu 24.04 LTS (GNU/Linux 6.8.0-xx-generic x86_64)
...
root@vps:~#

6.2 — Scarica e esegui l’installer

Scarica lo script di installazione, rendilo eseguibile e eseguilo:

wget https://raw.githubusercontent.com/bivlked/amneziawg-installer/v5.8.1/install_amneziawg_en.sh

chmod +x install_amneziawg_en.sh

sudo bash ./install_amneziawg_en.sh

L’URL è fissato alla versione v5.8.1 — l’ultima release ad aprile 2026. Questa è sicurezza della catena di fornitura: garantisce che lo script scaricato corrisponda alla versione testata, anche se il repository è stato aggiornato nel frattempo.

L’installer inizia controllando il tuo sistema:

============================================
AmneziaWG 2.0 Installer v5.8.1
============================================
Checking system requirements...
OS: Ubuntu 24.04 LTS — OK
Virtualization: KVM — OK
RAM: 1024 MB — OK
Disk: 25 GB free — OK

Se qualche controllo fallisce, l’installer si ferma e ti dice perché. Risolvi il problema e riesegui il comando.

6.3 — Segui i prompt dell’installer

L’installer è una macchina a stati a otto passaggi con supporto per riprendere dopo il riavvio. Salva i suoi progressi in /root/awg/awgsetup_cfg.init, quindi se il server si riavvia, basta eseguire di nuovo lo stesso comando e riprende da dove si era fermato.

Passo 0: Inizializzazione — L’installer controlla il tuo OS, tipo di virtualizzazione, RAM e spazio su disco. Crea la directory di lavoro /root/awg/ e imposta un file di blocco per prevenire esecuzioni parallele.

Passo 1: Aggiornamento del sistema & installazione dei pacchetti — L’installer esegue apt-get update && apt-get upgrade -y Poi installa AmneziaWG, DKMS, intestazioni Linux, UFW, Fail2Ban, strumenti di generazione QR code e altre dipendenze.

📝 Nota: L’installer rimuove anche diversi servizi di background che consumano risorse su istanze VPS minime: snapd, modemmanager, networkd-dispatcher, unattended-upgrades, packagekit, lxd-agent-loader e udisks2. Questo è intenzionale e sicuro per nodi VPN minimi, ma potrebbe rompere ambienti a scopo generale.

Quando il Passo 1 è completato, l’installer richiede un riavvio:

Reboot required. Reboot now? [y/n]:

Digita y e premi Invio. Dopo che il server si è riavviato, riconnettiti tramite SSH e riesegui lo stesso comando:

sudo bash ./install_amneziawg_en.sh

Lo script legge il suo stato salvato e continua al Passo 2 senza ripetere alcun prompt.

Passo 2: Costruzione del modulo del kernel DKMS — L’installer compila il modulo del kernel AmneziaWG contro il tuo kernel attuale e lo registra con DKMS per la ricostruzione automatica su futuri aggiornamenti del kernel:

Step 2: Building AmneziaWG kernel module via DKMS...
Creating symlink /var/lib/dkms/amneziawg/2.0/source -> /usr/src/amneziawg-2.0
DKMS: add completed.
Kernel preparation completed.
Building module:
make -C /lib/modules/6.8.0-xx-generic/build M=/var/lib/dkms/amneziawg/2.0/build modules
DKMS: build completed.
DKMS: install completed.

Viene richiesto un secondo riavvio. Digita y e premi Invio.

📝 Nota: Due riavvii durante l’installazione sono normali e previsti. Il primo carica le nuove intestazioni del kernel, il secondo attiva il modulo del kernel appena costruito. Lo script salva lo stato tra i riavvii — nulla va perso.

Dopo il secondo riavvio, riconnettiti e esegui di nuovo l’installer:

sudo bash ./install_amneziawg_en.sh

Passo 3: Verifica del modulo post-riavvio — Lo script verifica che il modulo del kernel sia caricato (lsmod | grep amneziawg). Se la costruzione DKMS è fallita per qualsiasi motivo, torna all’implementazione Go nello spazio utente con un avviso riguardo al sovraccarico maggiore.

Passo 4: Configurazione del firewall — UFW è abilitato con una politica di rifiuto predefinita per le connessioni in entrata. L’installer aggiunge una regola di limitazione della velocità SSH sulla porta 22, apre la tua porta VPN per il traffico UDP e configura le regole di routing per l’interfaccia awg0.

Passo 5: Download degli script di gestione — Gli script di gestione del client (manage_amneziawg.sh e awg_common.sh) vengono scaricati in /root/awg/ con permessi solo per il proprietario (700). Questi sono anche fissati alla versione v5.8.1.

Passo 6: Configurazione interattiva — L’installer ora pone quattro domande:

• Porta UDP (predefinita: 39743, intervallo 1024–65535). Il predefinito è una porta alta casuale — mantienila a meno che il tuo ISP non sia noto per bloccare porte UDP alte.
• Subnet del tunnel (predefinita: 10.9.9.1/24). Questa è la tua rete VPN interna. Il server ottiene .1, i client ottengono .2 fino a .254, supportando fino a 253 client.
• Disabilita IPv6 (predefinita: S). Raccomandato — disabilitare IPv6 previene la fuoriuscita di traffico al di fuori del tunnel su percorsi IPv6.
• Modalità di routing: Scegli 1 per tutto il traffico, 2 per Amnezia List + DNS (raccomandato), o 3 per reti personalizzate. La modalità 2 instrada solo gli intervalli IP pubblici bloccati e DNS attraverso la VPN, mantenendo l’accesso alla tua rete locale veloce e diretto.

💡 Suggerimento: L’MTU è impostato a 1280 per impostazione predefinita. Questo è l’MTU IPv6 minimo ed è critico per reti mobili e cellulari. iOS è rigoroso riguardo alla scoperta dell’MTU del percorso, e le reti cellulari spesso hanno un MTU effettivo inferiore al predefinito di WireGuard di 1420. Lascia questo a 1280.

Passo 7: Avvio del servizio — L’installer genera la configurazione del server in /etc/amnezia/amneziawg/awg0.conf, crea due configurazioni client predefinite (my_phone e my_laptop) in /root/awg/, genera codici QR e avvia il servizio awg-quick@awg0 di systemd.

Passo 8: Completamento — Vedrai il messaggio di successo:

L’installer genera automaticamente tutti i parametri di offuscamento di AmneziaWG 2.0. Non è necessario toccarli. Ogni server ottiene un set unico di valori — non c’è un’impronta digitale universale per i sistemi DPI da rilevare.

6.4 — Gestire i client dopo l’installazione

Lo script di gestione in /root/awg/manage_amneziawg.sh gestisce tutte le operazioni del ciclo di vita del client. Ecco i comandi essenziali:

Aggiungi un nuovo client:

sudo bash /root/awg/manage_amneziawg.sh add my_desktop

Questo genera un file .conf, un codice QR e un file .vpnuri per il nuovo client. La configurazione del server viene ricaricata a caldo — non è necessario riavviare il servizio.

Aggiungi un client temporaneo con scadenza automatica:

sudo bash /root/awg/manage_amneziawg.sh add guest --expires=7d

Un lavoro cron controlla ogni cinque minuti e rimuove automaticamente il client quando scade. La configurazione, le chiavi e l’entry del server vengono tutte pulite.

Elenca tutti i client:

sudo bash /root/awg/manage_amneziawg.sh list

Clients:
  my_phone     (10.9.9.2/32)
  my_laptop    (10.9.9.3/32)
  my_desktop   (10.9.9.4/32)
  guest        (10.9.9.5/32) [expires in 6d 23h]

Aggiungi il flag -v per ulteriori dettagli, inclusi chiavi pubbliche e date di creazione.

Rimuovi un client:

sudo bash /root/awg/manage_amneziawg.sh remove guest

Controlla lo stato completo del server:

sudo bash /root/awg/manage_amneziawg.sh check

Questo mostra lo stato del servizio, la porta aperta, tutti i parametri AWG 2.0, lo stato del modulo del kernel, lo stato di UFW e lo stato di Fail2Ban in un’unica vista.

Visualizza le statistiche del traffico per client:

sudo bash /root/awg/manage_amneziawg.sh stats

Client          Received        Sent            Latest handshake
───────────────────────────────────────────────────────────────────
my_phone        1.24 GiB        356.7 MiB       2 minutes ago
my_laptop       892.3 MiB       128.4 MiB       15 seconds ago
my_desktop      0 B             0 B             (none)

Crea un backup:

sudo bash /root/awg/manage_amneziawg.sh backup

Questo crea un archivio compresso in /root/awg/backups/ contenente la configurazione del server, le configurazioni dei client, le chiavi e i dati di scadenza.

📝 Nota: I comandi add e remove utilizzano awg syncconf per il caricamento a caldo. La configurazione del server si aggiorna istantaneamente senza riavviare il servizio. Usa restart solo quando cambi parametri lato server come la porta o l’MTU.

6.5 — Verifica che il server sia in esecuzione

Esegui questi controlli per confermare che tutto sia operativo:

Controlla il servizio systemd:

sudo systemctl status awg-quick@awg0

● awg-quick@awg0.service - AmneziaWG Quick via awg-quick(8) for awg0
     Loaded: loaded (/lib/systemd/system/awg-quick@.service; enabled)
     Active: active (exited) since Thu 2026-04-09 14:32:01 UTC

Verifica lo stato e i parametri di AmneziaWG:

sudo awg show awg0

Verifica il firewall:

sudo ufw status verbose

Status: active
Default: deny (incoming), allow (outgoing)
22/tcp                     LIMIT IN    Anywhere
39743/udp                  ALLOW IN    Anywhere

Verifica Fail2Ban:

sudo fail2ban-client status sshd

Status for the jail: sshd
|- Filter
|  |- Currently failed: 0
|  `- Total failed: 0
`- Actions
   |- Currently banned: 0
   `- Banned IP list:

Verifica il modulo del kernel DKMS:

dkms status

amneziawg/1.0.0, 6.8.0-110-generic, x86_64: installed

Se tutti e cinque i controlli passano, il tuo server AmneziaWG 2.0 è in esecuzione ed è pronto ad accettare connessioni.

Il tuo server è in esecuzione e verificato. Se preferisci un approccio basato su GUI invece del terminale, ecco il metodo alternativo utilizzando l’app AmneziaVPN.

---

Metodo 2 — Distribuisci con l’app AmneziaVPN (Alternativa)

L’applicazione desktop AmneziaVPN può installare automaticamente AmneziaWG sul tuo server tramite SSH. Utilizza lo stesso script di installazione sottostante del metodo CLI, ma avvolge tutto in un’interfaccia guidata. Questo è ideale se desideri un’esperienza di installazione senza problemi.

1. Scarica AmneziaVPN da amnezia.org/en/downloads. È disponibile per Windows, macOS, Linux, Android e iOS.
2. Apri l’app e fai clic sull’➕ (icona più) o Inizia.
3. Seleziona “VPN auto-ospitata” dalle opzioni presentate.
4. Inserisci le credenziali del tuo server:
   • Indirizzo IP del server (e porta se SSH non è su 22, ad es., 203.0.113.10:2221)
   • Nome utente SSH (ad es., root)
   • Password o chiave privata SSH
5. Scegli il tipo di installazione:
   • Automatico — installa solo AmneziaWG (raccomandato)
   • Manuale — scegli un protocollo specifico dall’elenco
6. Fai clic su “Installa” — l’app si connette al tuo server tramite SSH e avvia automaticamente l’installazione. Vedrai un indicatore di progresso.
7. Dopo l’installazione, l’app crea un profilo di connessione VPN pronto all’uso.

Note post-installazione:

• L’app installa AmneziaWG con una porta casuale per impostazione predefinita. Alcuni ISP bloccano UDP su porte alte. L’app raccomanda di cambiare a una porta sotto 9999 (come 585 o 1234). Per cambiarla: fai clic sull’icona a forma di ingranaggio accanto alla connessione → scheda Gestione → cambia il numero di porta.
• Se il tuo server ha già installato software Amnezia, fai clic su “Salta configurazione” durante la creazione della connessione, quindi usa “Controlla il server per servizi Amnezia precedentemente installati” nella scheda Gestione.

Ecco come si confrontano i due metodi:

Aspetto	Installer CLI	App AmneziaVPN
Controllo	Completo — vedi ogni passaggio, puoi personalizzare	Limitato — l’app gestisce tutto
Visibilità	Trasparente — tutti i comandi visibili	Opaco — esegue in background
Flessibilità	Routing personalizzato, endpoint, flag	Utilizza solo predefiniti
Facilità d’uso	Richiede familiarità con SSH	Nessun lavoro terminale
Gestione	Suite completa manage_amneziawg.sh	Gestione basata su app solo
Ideale per	VPS non gestiti, risoluzione dei problemi	Installazione rapida, esperienza guidata

Che tu abbia usato il CLI o l’app, il tuo server è pronto. Ora colleghiamo il tuo primo dispositivo.

---

Collegare il tuo primo client

Dopo l’installazione, hai tre modi per importare la configurazione del client nell’app Amnezia VPN. Scegli quello che corrisponde al tuo dispositivo.

Metodo A: Codice QR (Mobile)

L’installer ha generato un codice QR in /root/awg/my_phone.png. Scaricalo sul tuo computer:

scp root@<SERVER_IP>:/root/awg/my_phone.png .

Apri il file PNG sul tuo schermo. Sul tuo telefono, apri l’app Amnezia VPN, tocca “Aggiungi VPN” → “Scansiona codice QR”, e punta la tua fotocamera sul codice QR sullo schermo. La connessione viene importata automaticamente.

Metodo B: vpn:// URI (Client Amnezia)

Visualizza l’URI compresso sul tuo server:

cat /root/awg/my_phone.vpnuri

Copia l’intera stringa vpn://… e inviala a te stesso — tramite Telegram, email o un’app per note. Sul tuo telefono, apri l’app Amnezia VPN, tocca “Aggiungi VPN” → “Incolla dagli appunti”. La configurazione viene importata in un solo passaggio.

L’URI è una versione compressa zlib, codificata in Base64 del file di configurazione completo. È compatto e progettato per una rapida condivisione.

Metodo C: File .conf (Desktop/Windows)

Scarica il file di configurazione:

scp root@<SERVER_IP>:/root/awg/my_phone.conf .

Apri il client AmneziaWG per Windows o l’app desktop AmneziaVPN, fai clic su “Importa tunnel(i) da file”, e seleziona il file .conf.

Verifica la connessione

Una volta connesso, verifica che il tunnel stia instradando il tuo traffico attraverso il server:
curl ifconfig.me
L’output dovrebbe mostrare l’indirizzo IP pubblico del tuo server, non il tuo locale: 203.0.113.1

Per maggiori dettagli, inclusa la posizione geografica del server:

curl -s https://ipinfo.io/json

{
  "ip": "203.0.113.1",
  "city": "Amsterdam",
  "region": "North Holland",
  "country": "NL",
  ...
}

⚠️ Attenzione: Il client WireGuard standard non funziona con le configurazioni AmneziaWG 2.0. Devi usare l’app Amnezia VPN (versione 4.8.12.7 o successiva) o un client AmneziaWG nativo (versione 2.0.0 o successiva su Windows/Android/iOS).

⚠️ Attenzione: Se vedi “Chiave non valida: s3” su Windows, il tuo client AmneziaWG per Windows è obsoleto (versione inferiore a 2.0.0). Aggiorna alla versione 2.0.0+ o passa all’app Amnezia VPN.

💡 Suggerimento: Se sei connesso ma non hai internet, controlla che la tua configurazione client abbia MTU = 1280 nella sezione [Interfaccia]. Questa è la causa più comune di “handshake riuscito ma nessun traffico” su reti mobili.

Congratulazioni! Il tuo tunnel VPN è funzionante.

---

Cosa fare dopo — Estendere la tua configurazione

Ora hai un tunnel VPN resistente ai DPI in esecuzione sul tuo server, sotto il tuo controllo, con velocità a livello di WireGuard. La morte silenziosa dei pacchetti che ha ucciso la tua connessione WireGuard non è più un problema: il tuo traffico non sembra nulla che un sistema DPI possa identificare in modo affidabile.

Ecco le cose più utili che puoi fare dopo:

1. Aggiungi client per la tua famiglia o il tuo team — usa lo script di gestione per generare configurazioni per ogni dispositivo che ha bisogno di accesso.
2. Configura il tunneling diviso se non hai bisogno di instradare tutto il traffico attraverso la VPN — mantiene il traffico locale veloce e riduce la larghezza di banda sul tuo VPS.
3. Fai un backup delle tue configurazioni — esegui il comando di backup e archivia l’archivio in un luogo sicuro. Se il tuo server ha mai bisogno di essere ricostruito, questo è ciò che ti salva dall’iniziare da capo.

Configura il tunneling diviso se non hai bisogno che tutto il traffico venga instradato attraverso la VPN. Questo è particolarmente utile in paesi con censura parziale: instrada solo i siti bloccati attraverso il tunnel e mantieni il traffico locale diretto:

sudo bash /root/awg/manage_amneziawg.sh modify my_phone AllowedIPs "192.168.1.0/24,10.0.0.0/8"

Cambia il tuo DNS client se preferisci resolver diversi:

sudo bash /root/awg/manage_amneziawg.sh modify my_phone DNS "8.8.8.8,1.0.0.1"

Regola PersistentKeepalive se sei su una configurazione NAT aggressiva. Il predefinito di 33 secondi mantiene la sessione UDP attraverso NAT — abbassarlo a 25 può aiutare su reti che chiudono rapidamente le sessioni UDP inattive:

sudo bash /root/awg/manage_amneziawg.sh modify my_phone PersistentKeepalive 25

Installa sul tuo router per una copertura su tutta la rete. AmneziaWG è supportato sui router Keenetic tramite AWG Manager e sui router ASUS che eseguono Asuswrt-Merlin tramite AmneziaWG per Merlin.

Fai un backup della tua configurazione ora, prima che qualcosa cambi:

sudo bash /root/awg/manage_amneziawg.sh backup

Se hai mai bisogno di migrare a un nuovo server, esegui una nuova installazione e poi:

sudo bash /root/awg/manage_amneziawg.sh restore
sudo bash /root/awg/manage_amneziawg.sh regen

Il comando restore ripristina le tue configurazioni e chiavi, e regen aggiorna le configurazioni client con il nuovo IP del server.

Per una documentazione più approfondita, la documentazione ufficiale di Amnezia è su docs.amnezia.org e la community è attiva su Telegram.

Conclusione

Dopo aver completato l’intera configurazione, ciò che spicca di AmneziaWG 2.0 non è solo che funziona — ma perché funziona in modo affidabile dove altri falliscono. Preservando il nucleo crittografico provato di WireGuard mentre cambia fondamentalmente come appare il traffico sulla rete, evita le esatte debolezze che l’ispezione approfondita dei pacchetti sfrutta. Il risultato è una configurazione che si sente veloce e semplice quanto WireGuard nella pratica, ma molto più resiliente in ambienti ostili. Una volta distribuito, il valore diventa ovvio: non stai solo eseguendo una VPN — stai eseguendo una progettata per sopravvivere al blocco nel mondo reale.

Se stai cercando un VPS affidabile per ospitare il tuo server AmneziaWG — o hai bisogno di scalare con endpoint aggiuntivi per i membri del team — AvaHost offre virtualizzazione KVM con accesso root completo, storage NVMe e supporto per Ubuntu 24.04 che questa configurazione richiede. La loro infrastruttura è progettata appositamente per il tipo di distribuzioni auto-ospitate che questa guida copre.