AmneziaWG

Un fork de WireGuard que sobrevive al DPI — con UI web amigable.

Service #vpn#wireguard#network#privacy#security

AmneziaWG es un fork de WireGuard que agrega ofuscación de tráfico contra Deep Packet Inspection (DPI). Wire-compatible con WireGuard estándar en modo "off", pero capaz de disfrazar paquetes para que pasen redes restrictivas (Roskomnadzor ruso, filtrado iraní, sondas GFW) que bloquean WireGuard vanilla. Esta plantilla empaqueta AmneziaWG con la UI web amigable wg-easy.

Desplegar con Pier

1 Abre el panel de Pier y haz clic en Add service.
2 Elige AmneziaWG en la lista de plantillas.
3 Elige la versión, asigna un nombre al servicio y Pier provisionará automáticamente el contenedor, el almacenamiento y los puertos.
4 Vincula un dominio si quieres HTTPS. Traefik genera el certificado de Let's Encrypt automáticamente.

¿Qué es AmneziaWG?

AmneziaWG es un fork open-source de WireGuard que agrega una capa de ofuscación diseñada para derrotar Deep Packet Inspection (DPI). WireGuard vanilla tiene una forma de paquete muy reconocible — handshakes de tamaño fijo, timing predecible — que hace trivial para firewalls DPI en redes restrictivas (Roskomnadzor ruso, filtrado iraní, sondas GFW chinas) identificar y bloquear.

AmneziaWG mantiene la semántica del protocolo WireGuard pero randomiza el tamaño del paquete, agrega tráfico junk, y rellena el handshake inicial — suficiente para hacer que la forma del tráfico ya no coincida con la firma de WireGuard. Con parámetros de ofuscación a cero retrocede a WireGuard plano para compatibilidad con el cliente oficial.

Esta plantilla empaqueta AmneziaWG con la UI web de gestión wg-easy (un fork que conoce los parámetros AmneziaWG), así que puedes agregar y remover clientes, generar QR codes para móvil, y monitorear tráfico desde un browser — sin SSH, sin wg-quick, sin editar archivos de config.

Cómo lo despliega Pier

Pier usa la imagen w0rng/amnezia-wg-easy. Dos puertos — 51820/udp para tráfico VPN, 51821/tcp para UI web de gestión (detrás de Traefik con TLS cuando adjuntas un dominio custom).

En el primer lanzamiento configuras la contraseña UI web vía env vars (Pier genera una fuerte). Inicia sesión, configura WG_HOST al IP público o dominio de tu VPS, opcionalmente ajusta los parámetros de ofuscación, y empieza a agregar clientes.

El volumen de config monta en /etc/wireguard y persiste el estado de peer entre reinicios.

Cuándo NO usar AmneziaWG

Si tus usuarios no están en redes DPI-restringidas, WireGuard plano (wg-easy propiamente) es más simple y un poco más rápido. Para VPN corporativo con acceso basado en identidad y ACLs granulares, mira Tailscale, Twingate, o NetBird. Para proxy puramente application-layer (solo browser), Shadowsocks o V2Ray es más ligero. AmneziaWG es la respuesta precisa para “quiero VPN full-tunnel autohospedado que funcione en Rusia / Irán / redes restrictivas similares”.

Características clave

Resistente a DPI out of the box

AmneziaWG agrega ofuscación de longitud y timing de paquetes para que el tráfico no coincida con la firma distintiva de WireGuard. Sobrevive bloqueos RKN que matan WireGuard plano.

UI web amigable (fork de wg-easy)

Gestiona clientes desde un browser — agregar, remover, regenerar claves, ver stats de transferencia en vivo, compartir códigos QR para clientes móviles. Sin editar wg-quick.

Clientes WireGuard estándar funcionan

La app cliente AmneziaVPN está disponible para iOS/Android/Mac/Windows/Linux. Con ofuscación off, el cliente WireGuard oficial también conecta.

Códigos QR de config por cliente

Escanea con la app AmneziaVPN en móvil, conexión instantánea. Mismo UX que wg-easy clásico.

Huella diminuta

Imagen sub-100 MB, CPU mínima. Rendimiento de kernel AmneziaWG con overhead de ofuscación en userspace — aún cientos de Mbps en un VPS de $5.

Sobrevive bloqueos RKN en Rusia

Usado por decenas de miles de usuarios rusos para evitar bloqueos DPI de protocolos VPN estándar (WireGuard, OpenVPN, IKEv2).

Casos de uso

Evadir bloqueos basados en DPI

Redes (países, ISPs, firewalls corporativos) que bloquean firmas WireGuard por DPI. La ofuscación de AmneziaWG derrota la mayoría.

VPN personal con UI amigable

Self-host VPN para tu teléfono y laptop. AmneziaWG + UI web es el setup más fácil "WireGuard para usuarios non-CLI".

VPN de familia / equipo pequeño

Hasta una docena de clientes en un VPS. Agrega usuarios desde la UI, comparte QR en el momento.

Site-to-site o setup de workers roaming

Conecta una oficina pequeña o trabajadores remotos a servicios internos. El roaming WireGuard y NAT traversal aún aplican.

Upstream de router de viaje

Configura un router GL.iNet para rutear todo el tráfico Wi-Fi de hotel a través de tu VPS AmneziaWG.

Ejemplos de código

Agregar cliente (UI web) text

1. Abre https://vpn.example.com:51821
2. Login (password web del primer launch)
3. Click "+ New" → nombra al cliente
4. Click "Show QR" → escanea con AmneziaVPN en teléfono
5. Conecta — internet ahora rutea por tu VPS

Config de ofuscación de servidor (Pier env) text

WG_HOST: vpn.example.com
WG_PORT: 51820
WG_JC: 5
WG_JMIN: 50
WG_JMAX: 1000
WG_S1: 50
WG_S2: 100

Config de cliente AmneziaVPN ini

[Interface]
Address = 10.8.0.2/24
PrivateKey = <client-private>
Jc = 5
Jmin = 50
Jmax = 1000

[Peer]
PublicKey = <server-public>
AllowedIPs = 0.0.0.0/0
Endpoint = vpn.example.com:51820
PersistentKeepalive = 25

SSH al contenedor bash

docker exec -it pier-vpn sh
cat /etc/wireguard/wg0.conf
wg show wg0

Comparativa

vs WireGuard vanilla (wg-easy)	Mismo UX, pero DPI-bloqueable. Si no estás en una red restrictiva, WireGuard vanilla es más simple. AmneziaWG importa específicamente donde vanilla está bloqueado.
vs OpenVPN	OpenVPN con obfsproxy/Stunnel también puede derrotar DPI pero es más lento y con superficie de ataque mayor. AmneziaWG es la alternativa ligera moderna.
vs Shadowsocks / V2Ray	Shadowsocks/V2Ray son proxies application-layer (túneles TCP); AmneziaWG es VPN full IP-layer. Herramientas diferentes.
vs Outline / Algo / Streisand	Outline (Shadowsocks-based) y Algo/Streisand (scripts WireGuard + IPsec) apuntan a setup VPN simple. AmneziaWG específicamente agrega ofuscación; los otros no.

Preguntas frecuentes

¿Funcionará el cliente WireGuard oficial?

Con parámetros de ofuscación en defaults (Jc/Jmin/Jmax/S1/S2 = 0), sí. Con ofuscación activada, necesitas el cliente AmneziaVPN.

¿Es realmente bloqueable por DPI?

A finales de 2025, RKN no ha logrado bloquear masivamente tráfico AmneziaWG ofuscado. Redes de alto perfil pueden targetearte específicamente; ofuscación no es invisibilidad.

¿Overhead de rendimiento?

Costo de throughput 5-15% vs WireGuard vanilla en el mismo hardware. Cientos de Mbps fácilmente alcanzables en un VPS modesto.

¿Qué puertos?

51820/udp para tráfico VPN, 51821/tcp para la UI web de gestión. Pier expone ambos — protege la UI web con HTTPS vía Traefik.

¿Multi-usuario / RBAC?

Una sola contraseña admin a la UI web. Configs por-cliente son exportadas; sin autenticación client-side más allá del keypair WireGuard.

¿Killswitch / protección DNS leak?

Esa es preocupación client-side. Las apps AmneziaVPN incluyen opciones killswitch. En laptops, configura tu firewall OS.

¿Logs?

El servidor loguea handshakes WireGuard (timestamps, pubkeys de peer, source IPs) por defecto. Desactiva en env si los logs son preocupación.

Servicios relacionados

Desplegar en tu VPS

Desplegar este servicio →