Всем привет! Как уже многие владельцы VLESS VPN серверов знают, что в России заблочили самый защищенный протокол VLESS, но почему-то оставили некоторые другие протоколы еще активными. Судя по 1000+ комментариев на Хабре про блокировку VPN (https://habr.com/ru/articles/969618/comments/ и https://habr.com/ru/news/969436/comments/), которые я прочитал с помощью VEGA, рабочими остались такие протоколы:
| Протокол/Настройка | Статус | Комментарии пользователей | Рекомендации |
|---|---|---|---|
| OpenVPN (классический, с обфускацией) | Работает стабильно | «У меня работает годами на проводном/мобильном» (МТС, Билайн). Лимиты на проверки снижены. | Порт 443/tcp, самодельный обфускатор. Купленный у провайдера — идеал.1 |
| WireGuard (WG) | Частично: внутри РФ — да, за рубеж — глючит | Работает в Tailscale, AmneziaWG. Блокируют по IP/SNI, но «спасает WG от Амнезии». | Цепочки: РФ VPS → зарубежье. ASC-параметры для шейпинга. Не на мобильных Т2/МТС.2 |
| SOCKS5 | Стабильно, «неуловимый Джо» | «Работает стабильнее VLESS/WG». РКН игнорирует (боится задеть админский трафик/банки). | SSH-туннели: ssh -D. Банят на 30 мин при большом трафике.1 |
| SSTP | Надёжно между роутерами | MikroTik с сертификатами Let’s Encrypt. Работает из Windows/Android. | Логин/пароль + доменная проверка.1 |
| VLESS Reality (с фиксами) | Глючит, но чинится | Долгий коннект (DPI «маринует» Client Hello). Работает с mux (h2Mux/smux), gRPC, xHTTP. | Обновить Xray-core (bug в uTLS). SNI: telegram.org:8443 или maxru443. 15% пользователей затронуто.1 9 |
| GRE/IPIP | Для туннелей внутри РФ | «Выручает, когда WG падает». Корпоративный трафик не трогают. | Между роутерами/VDS.1 |
| Цепочки (Chains) | Для параноиков | User → РФ VPS (WG/VLESS) → зарубежье. Хостеры мягче (Яндекс.Облако, Selectel). | Reverse-подключения. CDN кроме CF (блокируется).2 |
Сегодня мы будем устанавливать AmneziaWG-Go на чистый Ubuntu 22.04 Server, пользователи рекомендуют хостинг Aeza
Учтите, что вы можете установить все гораздо проще через приложение Amnezia, AmneziaWG-Go это более продвинутый уровень, когда вы хотите миксовать протоколы, добавлять свои фичи (например DNS proxy), но для большинства это и не нужно.
AmneziaWG-Go — это форк WireGuard-Go с улучшенной маскировкой трафика от DPI-систем, сохраняющий высокую производительность. GitHub — amnezia-vpn/amneziawg-go. Устанавливаем с нуля на сервер без Go и пакетов.
Оглавление
1. Обновление системы и базовая подготовка
apt update && apt upgrade -y
apt install -y curl wget git build-essentialПерезагрузите: reboot.
2. Установка Go (версия 1.25+ рекомендована для 2025)
Скачайте последнюю версию с официального сайта:
wget https://go.dev/dl/go1.25.0.linux-amd64.tar.gz
rm -rf /usr/local/go && tar -C /usr/local -xzf go1.25.0.linux-amd64.tar.gzДобавьте в PATH:
echo 'export PATH=$PATH:/usr/local/go/bin' >> ~/.profile
echo 'export GOPATH=$HOME/go' >> ~/.profile
source ~/.profile
go version # Должен показать go1.25.0How to Install Go on Ubuntu 22.04.
3. Компиляция и установка AmneziaWG-Go
git clone https://github.com/amnezia-vpn/amneziawg-go.git
cd amneziawg-go
make
sudo cp amneziawg-go /usr/local/bin/
amneziawg-go version # Проверка4. Создание пользователя и systemd-сервиса
Создайте непривилегированного пользователя:
adduser --disabled-password --gecos "" vpnuser
usermod -aG sudo vpnuserКонфиг /etc/wireguard/awg0.conf (пример для сервера):
[Interface]
PrivateKey = <SERVER_PRIVATE_KEY>
Address = 10.0.0.1/24
ListenPort = 51820
# Клиенты добавляются здесьГенерация ключей: wg genkey | tee private.key | wg pubkey > public.key.
Systemd-сервис /etc/systemd/system/awg0.service:
[Unit]
Description=AmneziaWG interface awg0
After=network.target
[Service]
Type=forking
User=vpnuser
Group=vpnuser
ExecStart=/usr/local/bin/amneziawg-go awg0
ExecReload=/bin/kill -HUP $MAINPID
Restart=on-failure
RestartSec=5
[Install]
WantedBy=multi-user.targetsystemctl daemon-reload
systemctl enable awg0
systemctl start awg05. Настройки безопасности сервера
Создайте SSH-ключи (локально на клиенте):
ssh-keygen -t ed25519 -f ~/.ssh/vpn_server
ssh-copy-id vpnuser@YOUR_SERVER_IPНастройте SSH (/etc/ssh/sshd_config):
PermitRootLogin no
PasswordAuthentication no
PubkeyAuthentication yes
Port 2222 # Измените портsystemctl restart ssh.
UFW-файрвол:
apt install ufw -y
ufw allow 2222/tcp # SSH на новом порту
ufw allow 51820/udp # AmneziaWG
ufw --force enable
ufw statusПолитика: deny по умолчанию, только SSH и VPN. UFW Essentials.
Fail2Ban (защита от брутфорса):
apt install fail2ban -y/etc/fail2ban/jail.local:
[sshd]
enabled = true
port = 2222systemctl restart fail2ban.
Автообновления:
apt install unattended-upgrades -y
dpkg-reconfigure unattended-upgradesДополнительно:
apt install apparmor ufw— включите AppArmor:aa-status.- Мониторинг:
journalctl -u awg0 -f. - Остановка:
systemctl stop awg0; ip link del awg0.