Спешим к сообществу с радостной новостью - заблокированный WireGuard можно реанимировать с помощью нашего клиента AmneziaVPN!

Многие из вас слышали, что в России и в некоторых других странах блокируются VPN, работающие на протоколе WireGuard. Теперь есть решение, чтобы он снова заработал!

Не так давно мы выпустили свой собственный протокол AmneziaWG на базе WireGuard, и сделали для него нативный одноименный клиент AmneziaWG. Очень скоро мы обнаружили, что можно скрывать от DPI и стандартный трафик WireGuard, если в конфиг c протоколом вручную добавить специальные параметры, об этом можно почитать в недавнем материале.

Благодаря вашим фидбекам, теперь мы точно знаем, что это работает, поэтому добавили автоматическую обфускацию WireGuard в клиент AmneziaVPN. Если поставить галочку сразу после добавления конфига в приложение, Amnezia автоматически подставит нужные значения, чтобы изменить параметры WireGuard и сделать из него AmneziaWG. Это позволит вам не редактировать конфиг вручную. Amnezia сама сделает его обфусцированным.

То есть если ваш купленный или самонастроенный VPN на WireGuard совсем потерял признаки жизни, то он снова заработает через AmneziaVPN!

Мы не можем дать гарантию, что это решение будет работать всегда и везде, так как мы тестировали его в основном на территории России в условиях блокировок с помощью российских DPI, но нам очень интересен опыт в других странах, поэтому делитесь!

Для того, чтобы скачать последнюю версию, вам нужно перейти на сайт или на GitHub и установить приложение для вашей платформы.

Android - Google Play
iOS - App Store

Мы как обычно ждём от вас отзывы о работе наших инструментов в комментах или на почту: support@amnezia.org

Комментарии (61)


  1. Markscheider
    08.05.2024 13:18
    +9

    Сначала

    заблокированный WireGuard

    потом

    если ваш купленный или самонастроенный VPN на WireGuard совсем потерял признаки жизни

    P.S.

    У меня такая же нога, но не болит © - как работало так и работает


    1. IsNoGood
      08.05.2024 13:18

      Как показывает практика зависит от оператора/провайдера.


  1. LakeOfTears
    08.05.2024 13:18
    +1

    Странно, у меня вся контора на туннелях wireguard и о блокировке ничего не слышал. Год назад конечно позаботился о альтернативе, но пока работает как работало. Но альтернативы, особенно опенсорсные всячески одобряю.


    1. pokamest_nikak Автор
      08.05.2024 13:18
      +13

      На мобильных операторах в основном блочат


      1. Gorthauer87
        08.05.2024 13:18

        Там такое ощущение, что просто режут скорость почти до нуля для всякой непонятной фигни, которая постоянно на один и тот же айпи ходит. И то через раз


        1. DachnikGarik
          08.05.2024 13:18
          +3

          Полосатый оператор давно и упорно блочит протокол. У меня wireguard используется по прямому назначению - объединяет локальные сети квартиры и дома родителей. На локальных проводных операторах (разные провайдеры на сервере и клиенте) все работает. Полосатые блочат. Два раза пару лет назад с ними ругался в чате, после чего блокировка пропадала. Теперь идут в несознанку: "у нас все работает, проверяйте телефон".


          1. Lirix_vladimir
            08.05.2024 13:18
            +1

            Я бы просто отказался от их услуг в пользу других


            1. ReadOnlySadUser
              08.05.2024 13:18

              МТС и Тинькофф тоже блочат.


              1. MountainGoat
                08.05.2024 13:18

                Я бы просто отказался от их услуг в пользу других


                1. mumamum
                  08.05.2024 13:18
                  +3

                  Это будет временный отказ.

                  У остальных операторов просто руки не дошли.

                  Пока что.


              1. timursergeevich
                08.05.2024 13:18
                +1

                В разных регионах по разному видимо. У меня МТС работает.


                1. teuchezh
                  08.05.2024 13:18
                  +1

                  МТС душили WG с августа прошлого года, ближе к декабрю стало совсем плохо, раньше через день-два отпускало (на проводных операторах никаких проблем не было, можно по WiFi установить соединение и продолжить по мобильному), пришлось переехать на VLESS+REALITY


        1. mumamum
          08.05.2024 13:18

          Вовсе не для любой


      1. adrozhzhov
        08.05.2024 13:18
        +1

        Не везде, но зато все сразу. В нижегородской области режут (обкатывают?) на всех 4х операторах, в Московской вроде пока работает


    1. Shaman_RSHU
      08.05.2024 13:18
      +3

      У нас "они" резали DTLS и полностью WireGuard.

      Просто написали письмо на info@cert.gov.ru, что с таких то IP используем для работы (если что мы не госы). Перезвонили, уточнили, что всё так и есть и часа через 4 никаких проблем.


  1. selivanov_pavel
    08.05.2024 13:18
    +19

    Как показали события в Дагестане, могут начать просто резать или дико замедлять всё, что DPI не определил как легитимный трафик. Опыт китайцев говорит о том же.

    Так что любые решения, кроме хорошей маскировки под HTTPS, включая фингерпринт, как у популярных браузеров, в любой момент могут перестать работать.

    Из известных мне софтин это умеют Cloak и xray/sing-box.


    1. grishkaa
      08.05.2024 13:18

      А пробовал ли кто-нибудь просто засунуть весь трафик в обычный вебсокет? Выглядит как очевидное решение, которое со стороны провайдеров будет обнаружимо только "аналоговыми" способами вроде сбора статистики по количеству и размерам пакетов, которые обязательно заденут что-нибудь ещё.


      1. selivanov_pavel
        08.05.2024 13:18
        +1

        x-ray умеет работать через веб-сокеты, возможно и sing-box умеет.

        Всё равно для недетектируемого трафика через сокеты надо сначала установить HTTPS соединение, имитируя фингерпринт популярного браузера.


      1. JediPhilosopher
        08.05.2024 13:18
        +1

        Такие хитрые штуки детектируются установлением собственного соединения (от провайдера на подозрительный адрес) и проверкой того, что он там возвращает.

        Если в ответ на запрос вместо ожидаемого (например HTTP ответа от сайта) приходит рукопожатие какого-нибудь VPN протокола - то ресурс блокируется.

        Защищаться от такого уже намного сложнее, это надо чтобы запущенный там VPN сервер при неправильном запросе выдавал себя за веб-сервер и отдавал что-то безобидное и достаточно легитимно выглядящее, а при правильном наборе параметров - подключал VPN. Мало какой софт умеет так делать.


        1. grishkaa
          08.05.2024 13:18
          +1

          Если в ответ на запрос вместо ожидаемого (например HTTP ответа от сайта) приходит рукопожатие какого-нибудь VPN протокола - то ресурс блокируется.

          Да вроде нет проблем от такого защититься? VPN-сервер ставим за тот же nginx, по секретному урлу, по которому клиент будет запрашивать вебсокет, а так там просто ну сайт и всё. Или редирект на песню "Never gonna give you up", по вкусу. А секретный урл провайдер не узнает, потому что HTTPS. MTProto-прокси для телеграма работали на похожем принципе, только там вместо секретного урла были какие-то секретные байты в каком-то поле в ClientHello, в котором должны быть случайные данные, что ли.

          Но нынешнее российское DPI-оборудование такого не умеет. Судя по тому, что вещи вроде GoodbyeDPI до сих пор неплохо работают, DPI до сих пор оперирует отдельными IP-пакетами, (почти?) никакого состояния между ними не хранит и на спецификацию того же TCP забивает чуть менее, чем полностью.


          1. JediPhilosopher
            08.05.2024 13:18
            +2

            Китайское такое точно умеет, значит и российское в скором времени наверняка научится. Не сейчас так через год.

            Да вроде нет проблем от такого защититься? VPN-сервер ставим за тот же nginx, по секретному урлу, по которому клиент будет запрашивать вебсокет, а так там просто ну сайт и всё. Или редирект на песню "Never gonna give you up", по вкусу. А секретный урл провайдер не узнает, потому что HTTPS.

            Ну как минимум это уже заметно сложнее чем просто поставить какой-нибудь популярный VPN-сервер. В общем-то задача всех этих блокировок - не порезать вообще все (всегда найдется хитрец который все обойдет), а порезать достаточно много для большинства.


            1. UranusExplorer
              08.05.2024 13:18
              +1

              Ну как минимум это уже заметно сложнее чем просто поставить какой-нибудь популярный VPN-сервер.

              Wireguard, IPSec и OpenVPN давно уже детектируются, а если ставить что-то более надёжное типа SSTP или OpenConnect, то в сравнении с ними XTLS-Reality ставится и настраивается даже проще - не надо доменов, не надо TLS-сертификатов, и есть куча веб-панелей и скриптов где все легко делается пошагово.


          1. Vindicar
            08.05.2024 13:18
            +2

            Ну вы изобрели Reality, если я правильно понимаю.


            1. Anyuta1166
              08.05.2024 13:18

              Последние две недели РКН усиляет блокировки. На профильном форуме о блокировках недавно было сообщение о блокировке Reality (вместе с блокировкой Shadowsocks, Shadowsocks-2022 и VMESS) на мобильных операторах. Не знаю, насколько оно соответствует действительности. Говорят, что по размерам и последовательности пакетов детектируют установление HTTPS-соединения внутри туннеля.


              1. UranusExplorer
                08.05.2024 13:18

                Reality (вместе с блокировкой Shadowsocks, Shadowsocks-2022 и VMESS

                SS и VMESS уже давно блокируются с использованием белых списков протоколов, правильно настроенный Reality же пока что РКН блокировать не умеет вообще и научится ещё не скоро (пока что с этим иранцы только преуспели, да и у них эффективность довольно низкая, а collateral damage огромный)


          1. UranusExplorer
            08.05.2024 13:18
            +2

            Да вроде нет проблем от такого защититься?

            Этого недостаточно, как уже выше сказали. В некоторых странах цензоры начали банить подключения "к веб-сайтам" от клиентов, у которых TLS fingerprint отличался от популярных браузеров. Граждане, в свою очередь, в ответ придумали uTLS. А в Иране, помнится, забанили даже fingerprint каких-то определенных версий Chrome, под который маскировались прокси-клиенты.


          1. UranusExplorer
            08.05.2024 13:18
            +1

            только там вместо секретного урла были какие-то секретные байты в каком-то поле в ClientHello, в котором должны быть случайные данные, что ли.

            Так работают Cloak и XTLS-Reality.


        1. ogost
          08.05.2024 13:18

          port knocking, не?


          1. nidalee
            08.05.2024 13:18
            +2

            Блокируется все, что непонятно. Почему гигабайты ходят на HTTP(S) сайт - еще понятно. И если проверяющий сервер подключается и видит там сайт - "все в порядке". А вот если он подключается и видит там ничего - это уже вопросы, а вопросы автоматика не задает обычно.

            Ваша задача - не заблокировать этот проверяющий сервер, а дать ему поверить, что вы ничего странного не делаете.


            1. ogost
              08.05.2024 13:18

              Ну например если клиент после хэндшейка на HTTPS отдаёт определённую секретную последовательсность байтов - то он свой и пускаем в секретный впн поверх tls. Если нет, то отдаём ему подложный сайт. Чем не разновидность port knock? Только стучим в не несколько портов в определённом порядке, а один порт секретной последовательностью. Снаружи не отличить от обычного https трафика. Секретная последовательность может генерироваться на основе общего ключа с привязкой по времени, по типу ТОРТ. Интенсивность трафика можно замаскировать под деятельность обычного пользователя на сайте.

              UPD кажется я где-то уже читал о подобном методе маскировки ВПН под HTTPS трафик, не помню где.


              1. nidalee
                08.05.2024 13:18

                Зачем такие сложности? "Нужный" клиент просто ходит по секретной /ссылке на домене, https же. Все, кто идут на сайт напрямую, видят ничем не примечательный сайт.


      1. UranusExplorer
        08.05.2024 13:18

        Уже давно попробовали, такая штука есть во многих средствах обхода цензуры.

        Более того, таким образом можно проксировать трафик даже через популярные CDN, в том числе с domain fronting'ом.


    1. seniorjoker
      08.05.2024 13:18
      +1

      Я читал, что РКН пытается блокировать личные VPN пользователей путём статистического анализа. Т.е. что если комп обычного пользователя целый день обращается только к финскому серверу, то это очевидный VPN. Так что не лучше ли маскировать VPN-трафик не под HTTPS, а под торрент? Там долгие соединения с узлами - это норма. Типа качаешь что-то большое


      1. nidalee
        08.05.2024 13:18

        Типа качаешь что-то большое

        Месяц? Год? :)

        Т.е. что если комп обычного пользователя целый день обращается только к финскому серверу, то это очевидный VPN.

        Решение на поверхности - обращаться не с компа обычного пользователя. У меня все подключения до прокси на регру, а дальше что нужно проксируется уже в страну ЕС. Это, правда, не VPN. Но с VPN тоже такое можно провернуть, ЕМНИП.


        1. seniorjoker
          08.05.2024 13:18

          Месяц? Год? :)

          Можно обфусцировать так, будто разные штуки постоянно качаешь


    1. loskiq
      08.05.2024 13:18

      как по мне, самое шикарное решение - vmess over websocket over nginx. это даст возможность повесить на виртуалку простенький веб-сайт на nginx и заодно пробрасывать весь трафик по websocket на vmess, а оттуда в инет. клиент под ПК v2ray-core, под Android v2rayNG, под iOS FoXray. во время блокировок в Дагестане это решение работало (живу тут)


      1. UranusExplorer
        08.05.2024 13:18

        vmess в данной конфигурации избыточен, хватит и vless.


  1. adrozhzhov
    08.05.2024 13:18

    Спасибо. Кнопки "сделать работающим" при импорте wg-профиля по QR коду нет. И не сразу понятно, что за S-поля соответствуют именам полей в форме настроек. Но главное заработало.


  1. dimitrii_z
    08.05.2024 13:18

    Проверил. Обычный wg клиент на инете от РТ работает, на мобильном инете (мтс) нет.

    Клиент amnezia работает на любом инете, прикольно, спасибо!


    1. dimitrii_z
      08.05.2024 13:18

      UPD: один раз вечером сработало, сегодня уже не работает на МТС.. Видимо таки не прокатило


  1. RavilAsf
    08.05.2024 13:18

    Попробовал реанимировать свой wireguard - не работает ни добавление в конфиг,ни через AmniziaVPN

    Ну и вес 250 мб при оригинальном wg == 10 мб это конечно тоже сильно)


    1. pokamest_nikak Автор
      08.05.2024 13:18

      конфиг не добавился? или не удалось подключиться? это точно последняя версия клиента, там при импорте конфига была галочка включить обфускацию?


      1. N-Storm
        08.05.2024 13:18

        У меня тоже не заработал. Точнее работает, но галочки при импорте конфига никак не повлияла - Билайн как блокировал, так и блокирует. Нулевой входящий трафик в статистике. Версия 4.5.3.0 с плэя. Импортировал конфиг WG своего сервера. Через домашний инет от того же Билайна - сабж подключается, как подключается и стандартный клиент. А по мобильной сети - оба не работают.
        Впрочем т.к. сервер на моем VPS и мне VPN нужен, чтобы до него ходить - я уже давно для себя сделал модификацию wireguard-go и android клиента официального, немного поменял протокол с обоих сторон и всё работает и через мобильный билайн. Скорость только по UDP жестко режется на уровне 0.5 Мбит/с. Но т.к. мне нужно цепляться к моей VPS для "удаленно что-то сделать" изредка, то меня это устраивает. Тут было интересно есть ли рабочее решение для варианта с ванильным сервером - но увы, Билайн ваша обфускация никак не проходит.
        Афаик они смотрят размер пакета и байт, где у WG тип пакета, ожидая код handshake'а. Хотя детально не тестировал, не надо было.


    1. outlingo
      08.05.2024 13:18

      Ну и вес 250 мб при оригинальном wg == 10 мб это конечно тоже сильно)

      Ну так трекеры и телеметрии сами себя не соберут, понимать надо


    1. DerRotBaron
      08.05.2024 13:18

      Ну и вес 250 мб при оригинальном wg == 10 мб это конечно тоже сильно)

      Вот что случается, если писать мобильные приложения на Qt)


      1. pokamest_nikak Автор
        08.05.2024 13:18

        Может расскаже как ui влияет на работу самого VPN протокола, который написан на go? ))


  1. mltk
    08.05.2024 13:18

    На мобильном мегафоне и билайне не работает. Спб.


  1. Bessome
    08.05.2024 13:18

    Не то, чтобы я параноил, но зачем вам рут от моего сервера?

    В Краснодарском крае на мобильных МТС, Билайн, Мегафон точно нет wireguard. Обернуть в Amnesia хорошее дело, особенно ради иконки приложения ))))

    Пока не разобрался, но постараюсь, как просто перенести туннели wireguard в Amnezia, а за иконку однозначно лайк приложению!


    1. Anyuta1166
      08.05.2024 13:18
      +1

      Рут от сервера оно просит, чтобы установить на нём docker и развернуть с помощью docker-контейнеров VPN-сервер.

      Мне это тоже не очень нравится. Как вариант "для домохозяек" - ок, но хотелось бы иметь также вариант ручной установки и настройки. Причем если сервер теоретически можно поднять, выдернув бинарники из контейнера или собрав из исходников на гитхабе, то что делать с клиентом, который не предполагает ручной настройки - совсем не понятно.


  1. anzay911
    08.05.2024 13:18

    А мне нравилось добавлять руками. Зачем испортили? /s


  1. MountainGoat
    08.05.2024 13:18

    Напишите, пожалуйста, инструкцию, как добавить сервер AmnesiaWG в docker-compose.yml. Ситуация простая: есть VPS, на нём уже через compose стоят NextCloud, Fossil, Arr-ы всякие. И сервис, добавленый вручную, немного мешает ковырять конфиги.


  1. hulitolku
    08.05.2024 13:18

    А как операторы определяют, что это Wireguard?


    1. N-Storm
      08.05.2024 13:18

      Они определяют handshake пакеты, в которых всё очень просто - там фиксированный размер в 148 байт. И первые 4 байта заголовок структуры с типом пакета, тоже одинаковые всегда: [0x01, 0x00, 0x00, 0x00].


    1. dartraiden
      08.05.2024 13:18
      +1

      Не операторы а ТСПУ. По сигнатурам.


  1. psemilanceata
    08.05.2024 13:18

    Купить публичный вг, а потом публичный впн, гениально! Не пробовали поднять вг на недорогом впс сервере, получив по сути приватный вг? Удивитесь, но не понадобится никаких костылей. Просто не используйте общественные помойки.

    Кстати, публичные адреса так же известны многим ресурсам и вы моментально попадете под подозрения, зайдя с таких диапазонов, по сути с надписью на лбу: "Я зачем-то пятаюсь скрыть свой реальный ip адрес".


    1. Sap_ru
      08.05.2024 13:18
      +1

      WG блокируется как протокол . Хоть на своём сервере, хоть на "помойке".


      1. psemilanceata
        08.05.2024 13:18

        Почему-то с моим адресом такого такого не было. Было такое, когда покупал американский конфиг, он частенько отваливался ни с того, ни с сего. В случае смартфона лечится банально любым бесплатным впн из гугл плея, например, норд впн. Включил, посмотрев в 30% случаев 5 секунд рекламы без звука и забыл до перезагрузки устройства.


    1. UranusExplorer
      08.05.2024 13:18

      Не пробовали поднять вг на недорогом впс сервере, получив по сути приватный вг?

      Результат будет ровно тот же самый. WG банят не по адресам, а по сигнатурам. Если у вас пока ещё работает, то значит ещё руки до вас не дошли, а так - рубильник давно уже есть.


  1. harbingertm
    08.05.2024 13:18

    не работает. тестил на андроид. показывает подключено, а на деле пустышка)) при чем с рабочими конфигами


  1. gazkom
    08.05.2024 13:18

    При установке amnezia разворачивает на сервере контейнер. А как далее этот контейнер обновлять?


  1. nikitasA1NT
    08.05.2024 13:18

    На Тинькофф Мобайл тоже не работает. Галочку обфускации в приложении при добавлении конфига ставил.