发布于 2026年5月22日
AmneziaWG 还是 WireGuard:2026 年该如何选择
AmneziaWG 与 WireGuard 有何不同、它的混淆为何能绕过俄罗斯 DPI,以及在 2026 年封锁浪潮下何时选用哪种协议。
简单来说:WireGuard 是当今最快、最简洁的 VPN 协议,但它的流量很容易被深度包检测(DPI)识别。AmneziaWG 就是加上了混淆的 WireGuard:它隐藏了协议的特征指纹,因此在普通 WireGuard 已被识别和封锁的地方仍能正常工作。在 2026 年的俄罗斯,这一点是稳定连接的决定性因素。
简而言之:两种协议使用相同的加密算法,速度也几乎一致。区别在于流量从外部看起来是什么样。普通 WireGuard 因固定头部和可预测的握手而对 DPI 可见,并且越来越多地在运营商层面被限速。AmneziaWG(在 Fiery 称为 "AWG 2.0")加入了垃圾包、随机头部和签名伪装,使流量在 DPI 眼中如同无害的 UDP 噪声。如果你的 WireGuard 连不上了,请切换到 AmneziaWG。
AmneziaWG 与 WireGuard 的共同点
AmneziaWG 是 WireGuard 的一个分支,而非从零构建的新协议。Amnezia 团队基于原始实现开发,并保留了最关键的部分:加密。密钥交换仍基于 Noise 框架(Noise_IK),使用相同的算法原语,即用于密钥的 Curve25519 和用于数据加密的 ChaCha20-Poly1305。这意味着 AmneziaWG 的安全级别与 WireGuard 完全相同:没有自创加密,只有经过验证的算法。
性能也几乎相同。内核相同,混淆开销极小,因此在正常情况下速度差异难以察觉。关于 WireGuard 与其他协议的对比,请参阅我们的VPN 协议对比一文。
为什么普通 WireGuard 被封,而 AmneziaWG 不会
WireGuard 的弱点恰恰在于它的简洁。该协议为简单和速度而设计,并非为隐蔽而生。它具有让 DPI 几乎能瞬间识别的明显特征:
- 固定头部。数据包的第一个字节以可预测的形式携带消息类型(握手发起、响应、数据)。DPI 只需读取这个签名即可。
- 可识别的握手。WireGuard 的握手具有固定的长度和结构,从前几个包的大小就很容易辨认。
- 流量行为。特征性的包大小和时序即使不读取内容也能暴露协议。
AmneziaWG 正是针对这些特征下手。关键在于:混淆作用于传输层,不触及有效载荷,因此其内部仍是与 WireGuard 兼容的流量。而从外部看,DPI 只能看到一串没有可识别结构的随机 UDP 包。这通过三种机制实现。
垃圾包(Jc、Jmin、Jmax)
在建立连接之前以及会话开始时,客户端会发送一系列长度随机的"垃圾"包(Jc 参数设定数量,Jmin 和 Jmax 设定大小范围)。这些包没有实际含义,但能模糊会话起始的特征轮廓,使 DPI 无法抓住常见的握手大小和时序。
魔法头部随机化(H1-H4)
AmneziaWG 不使用固定的消息类型值,而是为四种包类型从配置范围内替换为随机的"魔法头部"。DPI 用来识别 WireGuard 的签名就此消失,每个用户各不相同且持续变化。
签名(I)包与 AWG 2.0
参数 I1-I5 允许客户端发送多达五个诱饵包,模仿另一种协议的起始,例如将流量伪装成普通的 QUIC 会话。AWG 2.0 版本更进一步:它不再使用静态值,而是采用动态头部范围,并为所有消息类型(而不仅是握手)添加随机填充字节。因此被掩盖的不仅是连接那一刻,而是整个数据传输流。
2026 年 5 月:封锁的真实情况
了解背景很重要,因为它解释了为何这一选择如今变得紧迫。对 VPN 的压力在整个 2025 年不断加大:俄罗斯监管机构学会了压制无法识别的 UDP 流量,促使 Amnezia 团队相继发布 AWG 1.0 → 1.5 → 2.0。到 2026 年初,已有数百个 VPN 服务受限,部分地区还增加了对 VLESS 等协议的封锁。
2026 年 5 月,封锁升级到 ASN 和子网级别:不再针对单个连接,而是切断整段地址范围,部分地区的普通 WireGuard 和 VLESS Reality 都受到影响。在此背景下,经过混淆的 AmneziaWG 表现为最具韧性的选择,正是因为其流量不暴露任何签名。这并不意味着 WireGuard "已死":在没有封锁的地方,它依然更快更简单。关键是针对具体情况做选择。关于封锁的原理,请参阅为什么 VPN 在俄罗斯无法使用。
对比:AmneziaWG 与 WireGuard
| 对比项 | WireGuard | AmneziaWG(AWG 2.0) |
|---|---|---|
| 速度 | 最快 | 几乎相同(开销极小) |
| 对 DPI 的可识别性 | 高,可凭签名识别 | 低,看起来像随机 UDP |
| 加密 | Noise、Curve25519、ChaCha20-Poly1305 | 完全相同,未做改动 |
| 抵御 2026 年封锁 | 承压,部分地区被限速 | 高,目前最可靠 |
| 路由器支持 | 原生内置(Keenetic、MikroTik、OpenWRT) | 有限,通常需要客户端 |
| 配置难易度 | 非常简单 | 通过 AmneziaVPN 应用即可,简单 |
| 何时选用 | 无封锁、追求极速或用于路由器 | WireGuard 被封或连接不稳定 |
何时选用哪种协议
一条简单的原则:先用 WireGuard,遇到问题再切换到 AmneziaWG。
- 选择 WireGuard:如果你的运营商没有激进封锁、连接稳定,或者你需要直接在路由器上使用 VPN。Keenetic、MikroTik 和 OpenWRT 对 WireGuard 的原生支持非常方便:配置一次,网络中的所有设备都受保护。详见我们的路由器 VPN 指南。
- 选择 AmneziaWG:如果普通 WireGuard 连不上、频繁掉线或运行不稳定;如果你身处 DPI 严厉的地区;或者你只想稳妥起见,直接选用最具韧性的方案。
如何配置 AmneziaWG(AWG 2.0)
与几乎到处都能直接安装的普通 WireGuard 不同,AmneziaWG 需要一个能理解混淆参数的兼容客户端。最简单的方式是使用官方的 AmneziaVPN 应用,它支持 Windows、Android 和 iOS。
- 从你的 VPN 服务获取 AWG 2.0 配置。在 Fiery,你可以通过 Telegram 机器人 @fiery_VPN_bot 或小程序获取。
- 从官方商店在设备上安装 AmneziaVPN 应用。
- 导入配置(通过链接、文件或二维码),所有混淆参数都会自动载入。
- 连接。如果连接稳定,就无需再做任何配置。
Jc、Jmin/Jmax 以及魔法头部等参数由服务商在服务器端设定;用户无需手动调整,只要导入现成的配置文件即可。
常见问题
AmneziaWG 比 WireGuard 慢吗?
实际使用中差异难以察觉。两种协议内核相同,混淆只增加少量额外流量。在大多数场景下,AmneziaWG 的速度与 WireGuard 相当,而在封锁下获得的稳定性优势远超这一点开销。
AmneziaWG 和 WireGuard 一样安全吗?
是的。AmneziaWG 没有改变 WireGuard 的加密,使用的仍是相同的 Noise_IK、Curve25519 和 ChaCha20-Poly1305。混淆只影响数据包头部的外观,不影响加密本身。
AmneziaWG 能在路由器上运行吗?
路由器支持目前仍有限,且取决于固件。普通 WireGuard 在 Keenetic、MikroTik 和 OpenWRT 上开箱即用,而 AmneziaWG 通常在设备上使用 AmneziaVPN 应用更为方便。如果你确实需要一台不被封锁的路由器,请选择 WireGuard。
为什么我的 WireGuard 突然不能用了?
很可能是你的运营商或俄罗斯监管机构开始凭签名识别并限速 WireGuard 流量,或者封锁了服务器所在的子网。2026 年最可靠的解决办法是切换到经过混淆的 AmneziaWG。
AWG 1.5 和 AWG 2.0 有什么区别?
AWG 2.0 采用动态头部范围而非静态值,并为所有消息类型(而不仅是握手)添加随机填充。这不仅掩盖了连接那一刻,还掩盖了整个数据流,从而提升了对现代 DPI 的抵御能力。
不想手动摆弄参数?在 Fiery VPN,AmneziaWG("AWG 2.0")已经配置好并可直接使用:将配置导入 AmneziaVPN 应用即可连接。同时也支持 WireGuard 和 VLESS Reality,可使用 MIR 银行卡、SBP 和加密货币付款,且坚持无日志政策。请前往 vpn.fiery.host 或通过 Telegram 机器人 @fiery_VPN_bot 获取访问权限。