إعداد AmneziaWG2 على VPS: DigitalOcean وAWS وAzure وGCP

إذا كنت تريد أسرع مسار إلى خادم VPN دون إجراء إعداد كامل لوحدة التحكم يدويًا، فإن التدفق المستضاف ذاتيًا في Amnezia هو أحد أسهل الخيارات. يمكنك إنشاء VPS، ومنح التطبيق إمكانية الوصول إلى SSH، واختيار بروتوكول، ويتصل العميل بالخادم ويقوم بتثبيت كل ما يحتاجه بنفسه.

في هذا الدليل، تستخدم الإرشادات الرئيسية DigitalOcean، لأنها الخيار الأكثر وضوحًا. أدناه، أقوم أيضًا بتفصيل ما يجب فعله إذا كنت تستخدم AWS أو Azure أو Google Cloud Platform — خاصة عندما يتعلق الأمر بمفاتيح SSH وفتح المنفذ الصحيح.

توضيح مهم مقدمًا: في بعض أجزاء واجهة Amnezia، قد ترى فقط Amnezia WireGuard بدون رقم الإصدار. ولكن في تدفق الاستضافة الذاتية الحالي على إصدارات العميل المدعومة، فإن ما ينتهي بك الأمر إلى نشره هو AmneziaWG 2.0.

إذا كنت تريد سياق البروتوكول قبل النشر، فقارن WireGuard vs XRay (VLESS/Reality) أولاً حتى تعرف ما يحله AWG2 المستضاف ذاتيًا وما لا يحله.

إجابة سريعة

• استخدم هذا الدليل إذا كنت تريد نشر VPN المدعومة بـ VPS مع التدفق المستضاف ذاتيًا من Amnezia بدلاً من استخدام إعداد VPN على Android مُدار عادي.
• ابدأ باستخدام DigitalOcean إذا كنت تريد المسار الأبسط. استخدم AWS أو Azure أو GCP فقط إذا كان لديك بالفعل سبب للبقاء داخل تلك الأنظمة الأساسية.
• القاعدة العملية الأكثر أهمية بسيطة: قم بتحميل المفتاح العام إلى موفر السحابة، ولكن الصق المفتاح الخاص في Amnezia.
• إذا كنت لا تحاول تشغيل خادمك الخاص، فهذه نقطة البداية الخاطئة. استخدم دليل إعداد Android العادي أولاً.

قرار سريع: هل هذا هو الدليل الصحيح؟

افتح هذا الدليل إذا كنت تريد نشر خادم VPN على VPS مع تدفق Amnezia المستضاف ذاتيًا.

إذا كان هدفك مختلفًا، فعادةً ما تكون هذه الصفحات نقطة بداية أفضل:

• بحاجة إلى سياق البروتوكول قبل نشر أي شيء: WireGuard vs XRay (VLESS/Reality) على Android
• تحتاج إلى إعداد Android عادي بدلاً من VPS: كيفية إعداد VPN على Android
• بحاجة إلى مساعدة بشأن الشبكات التي تمت تصفيتها أو تقييدها: استكشاف أخطاء XRay (VLESS/Reality) على Android وإصلاحها
• تريد التوجيه على مستوى التطبيق بعد الإعداد: Split Tunneling على دليل Android

المسار السريع

إذا لم تكن بحاجة إلى التفاصيل، فسيبدو التدفق بأكمله كما يلي:

1. إنشاء VPS؛
2. قم بإعداد مفتاح SSH؛
3. أضف المفتاح العام إلى مزود الاستضافة الخاص بك؛
4. انسخ المفتاح الخاص وعنوان IP واسم المستخدم؛
5. تثبيت Amnezia.
6. اختر VPN مستضاف ذاتيًا؛
7. الصق عنوان IP واسم المستخدم والمفتاح الخاص؛
8. اختر يدوي → Amnezia WireGuard;
9. ضبط المنفذ.
10. انتظر التثبيت.
11. قم بالاتصال والتحقق من تغيير عنوان IP الخاص بك.

فيما يلي الإصدار المناسب خطوة بخطوة.

ما الذي تحتاجه

• VPS مع IP عام
• وصول SSH إلى الخادم
• مفتاح SSH
• تم تثبيت تطبيق Amnezia
• 3-5 دقائق

المفتاح العام والمفتاح الخاص: لا تخلط بينهم

هذا هو المصدر الأكثر شيوعا للأخطاء.

عندما تقوم بإنشاء مفتاح SSH، تحصل على زوج من الملفات:

• المفتاح الخاص — المفتاح السري الذي يبقى معك فقط؛
• المفتاح العام — المفتاح الذي تضيفه إلى لوحة المزود الخاص بك.

في الإعداد المعتاد:

• الملف ** ذو الامتداد .pub** هو المفتاح العام;
• الملف بدون .pub هو المفتاح الخاص.

ومن الناحية العملية، هذا يعني:

• على DigitalOcean وغالبًا على Google Cloud، تقوم بتحميل المفتاح العام؛
• في Amnezia، تقوم بلصق المفتاح الخاص؛
• في AWS وAzure، قد تقوم البوابة الإلكترونية بإنشاء المفاتيح لك، وبالتالي فإن التدفق مختلف قليلاً - المزيد عن ذلك أدناه.

DigitalOcean: السيناريو الأسهل

بالنسبة لهذا النوع من الأدلة، يعد DigitalOcean حقًا أحد أسهل الخيارات.

الخطوة 1. قم بإنشاء مفتاح SSH

إذا كان لديك بالفعل مفتاح SSH منفصل لهذا الخادم، فهذا رائع - استخدمه. إذا لم يكن الأمر كذلك، قم بإنشاء واحدة جديدة.

الأمر الأساسي:

ssh-keygen

بعد ذلك، سيظهر النظام المكان الذي حفظت فيه المفاتيح. ما تحتاجه بعد ذلك هو المفتاح العام، أي الملف الذي يحتوي على .pub.

لطباعته في الجهاز ونسخه:

cat ~/.ssh/KEY_NAME.pub

إذا احتفظت بالاسم الافتراضي، فسيبدو المسار عادةً كما يلي:

cat ~/.ssh/id_ed25519.pub

الخطوة 2. أضف المفتاح العام إلى DigitalOcean

على DigitalOcean، يتم تحميل المفتاح العام إلى حسابك ومن ثم إرفاقه بالقطرات الجديدة أثناء الإنشاء.

المسار الرسمي: لوحة تحكم DigitalOcean → الإعدادات → الأمان → إضافة مفتاح SSH

التعليمات الرسمية:

• إضافة مفاتيح SSH إلى الفريق: https://docs.digitalocean.com/platform/teams/how-to/upload-ssh-keys/
• إنشاء DigitalOcean Droplet: https://docs.digitalocean.com/products/droplets/how-to/create/
• أضف مفاتيح SSH إلى Droplets الجديدة أو الموجودة: https://docs.digitalocean.com/products/droplets/how-to/add-ssh-keys/

ليس عليك حتى مغادرة صفحة إنشاء DigitalOcean Droplet: يوجد زر مفتاح SSH جديد هناك الذي يفعل نفس الشيء.

الخطوة 3. أنشئ DigitalOcean Droplet

بالنسبة للنشر الأول، هذا يكفي:

• أوبونتو
• أي خطة أساسية
• مصادقة مفتاح SSH
• المفتاح العام الذي قمت بإنشائه

بمجرد أن تصبح DigitalOcean Droplet جاهزة، ستحتاج إلى:

• public IP
• اسم المستخدم
• مفتاحك الخاص

في DigitalOcean، اسم المستخدم الافتراضي لإصدار Ubuntu النموذجي هو root.

تثبيت Amnezia

أثناء إنشاء VPS، يمكنك تنزيل العميل على الفور.

صفحة التحميل: https://amnezia.org/

Amnezia لديه إصدارات ل:

• ويندوز
• ماك
• لينكس
• Android
• iOS

قم بتثبيت التطبيق، وتشغيله، ثم اضغط على دعونا نبدأ.

إعداد AmneziaWG2 المستضاف ذاتيًا

الخطوة 1. اختر VPN مستضاف ذاتيًا

داخل التطبيق، اختر:

VPN مستضاف ذاتيًا

ثم ستحتاج إلى ثلاثة أشياء:

• IP الخادم
• اسم المستخدم
• مفتاح SSH الخاص

الخطوة 2. الصق المفتاح الخاص

أنت هنا بحاجة إلى المفتاح الخاص، وليس ملف .pub.

على سبيل المثال، إذا كان مفتاحك العام هو:

~/.ssh/id_ed25519.pub

سيكون المفتاح الخاص عادةً:

~/.ssh/id_ed25519

يمكنك طباعته مثل هذا:

cat ~/.ssh/id_ed25519

انسخ المحتويات كاملة وألصقها في Amnezia.

الخطوة 3. أدخل اسم المستخدم

في DigitalOcean، هذا عادةً ما يكون:

root

على الموفرين الآخرين، قد يكون اسم المستخدم مختلفًا، لذا لا تقم بالملء التلقائي root في كل مكان.

الخطوة 4. أدخل عنوان IP

انسخ عنوان VPS public IP من لوحة المزود الخاص بك والصقه في Amnezia.

الخطوة 5. اختر يدوي → Amnezia WireGuard

بعد ذلك، سيطلب التطبيق نوع التثبيت. اختر:

• يدوي (Manual)
• ثم Amnezia WireGuard

هذا هو المكان الذي غالبًا ما يرتبك فيه الناس بسبب التسمية: قد لا تقول الواجهة صراحةً “الإصدار 2”، ولكن في التدفق الحالي المستضاف ذاتيًا، هذا هو AWG 2.0، طالما أن عميلك يدعم الإصدار الأحدث.

تعليمات AmneziaWG 2.0 الرسمية ذاتية الاستضافة: https://docs.amnezia.org/ru/documentation/instructions/new-amneziawg-selfhosted/

الخطوة 6. اضبط المنفذ

يستخدم الفيديو المنفذ 8080، ويعد هذا خيارًا معقولاً تمامًا بالنسبة للإعداد الأول العملي.

ما يهم هنا:

• هذا هو منفذ خادم VPN، وليس منفذ SSH؛
• إذا لم يظهر البروتوكول، فالمشكلة غالبًا لا تكمن في البروتوكول نفسه، بل في حقيقة أن المنفذ مغلق؛
• إذا لم يعمل منفذ معين، فعادةً ما يكون تجربة منفذ آخر أولاً أسرع بدلاً من البدء فورًا في البحث عن سبب معقد في الشبكة.

استكشاف الأخطاء وإصلاحها رسميًا لـ AmneziaWG المستضاف ذاتيًا: https://docs.amnezia.org/troubleshooting/self-hosted-amneziawg-not-working/

يقترحون صراحة تجربة منفذ آخر أقل من 9999، مثل 585 أو 1234، إذا واجهت مشكلات.

الخطوة 7. انتظر التثبيت التلقائي

بعد ذلك، سوف يقوم Amnezia بما يلي:

• الاتصال بالخادم عبر SSH؛
• تثبيت كل ما يحتاجه.
• إعداد التكوين؛
• إضافة الاتصال داخل التطبيق.

هذه هي الميزة الرئيسية للتدفق المستضاف ذاتيًا: ليس عليك تثبيت كل شيء يدويًا من وحدة التحكم.

الخطوة 8. قم بالاتصال والتحقق من عنوان IP

بمجرد اكتمال التثبيت، سوف ترى زر الاتصال.

ثم:

1. اضغط اتصال؛
2. انتظر ظهور النفق؛
3. افتح أي خدمة فحص IP؛
4. قم بتحديث الصفحة وتأكد من أن عنوان IP يتطابق الآن مع VPS الخاص بك.

إذا تغير عنوان IP إلى عنوان IP الخاص بخادمك، فهذا يعني أن الإعداد الأساسي قد تم.

ماذا لو كنت لا تستخدم DigitalOcean؟

فيما يلي ملخص عملي قصير لمقدمي الخدمات المشتركين الآخرين.

AWS: مفاتيح ومنفذ SSH

في AWS EC2، يختلف التدفق عن DigitalOcean.

مفاتيح SSH على AWS

في AWS، ليس عليك إنشاء مفتاح SSH محليًا مسبقًا. عندما تقوم بإنشاء مثيل EC2، يمكنك:

• حدد زوج مفاتيح موجود؛
• أو قم بإنشاء زوج مفاتيح جديد مباشرة في وحدة التحكم.

عندما تقوم بإنشاء زوج مفاتيح جديد، تتيح لك AWS تنزيل المفتاح الخاص (على سبيل المثال، ملف .pem) مرة واحدة. يتم بعد ذلك إرفاق المفتاح العام بالمثيل تلقائيًا.

الوثائق الرسمية:

• أزواج مفاتيح EC2: https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html

لذلك، في AWS، المسار الأسهل هو:

1. قم بإنشاء زوج المفاتيح في تدفق إطلاق EC2؛
2. قم بتنزيل المفتاح الخاص؛
3. استخدم هذا المفتاح الخاص في Amnezia.

مكان فتح المنفذ على AWS

في AWS، تحتاج إلى Security Group مع قاعدة واردة لـ منفذ UDP المطلوب.

المسار: EC2 → المثيل → مرفق مجموعة الأمان → تحرير القواعد الواردة

الوثائق الرسمية:

• تغيير مجموعات الأمان: https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/changing-security-group.html
• مرجع قواعد مجموعة الأمان: https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html

إذا كانت قاعدة UDP الواردة مفقودة، فقد يتم تثبيت الخادم بنجاح، ولكن لن تعمل الاتصالات الخارجية.

Azure: مفاتيح ومنفذ SSH

في Azure، يكون التدفق أيضًا مناسبًا إلى حد ما.

مفاتيح SSH على Azure

يمكن لـ Azure إنشاء مفاتيح SSH وتخزينها مباشرة في البوابة. يعد ذلك مفيدًا إذا كنت لا تريد إنشاء مفتاح محليًا أولاً.

الوثائق الرسمية:

• إنشاء وتخزين مفاتيح SSH في بوابة Azure: https://learn.microsoft.com/en-us/azure/virtual-machines/ssh-keys-portal
• الاتصال بجهاز Linux VM: https://learn.microsoft.com/en-us/azure/virtual-machines/linux-vm-connect

لذا، في Azure، لديك خياران:

1. استخدم مفتاحك العام الحالي؛
2. اسمح لـ Azure بإنشاء المفاتيح عند إنشاء جهاز افتراضي.

في كلتا الحالتين، ما يحتاجه Amnezia في النهاية هو المفتاح الخاص.

مكان فتح المنفذ على Azure

في Azure، يتم فتح المنفذ عادةً من خلال:

• الشبكات
• و/أو مجموعة أمان الشبكة (NSG)

الوثائق الرسمية:

• نظرة عامة/برنامج تعليمي على مجموعات أمان الشبكة: https://learn.microsoft.com/en-us/azure/virtual-network/tutorial-filter-network-traffic
• إدارة مجموعة الموردين النوويين: https://learn.microsoft.com/en-us/azure/virtual-network/manage-network-security-group

من الناحية العملية، أنت بحاجة إلى قاعدة واردة لـ منفذ UDP.

Google Cloud Platform: حيث يشعر الأشخاص بالارتباك في أغلب الأحيان

هذا هو المكان الذي تميل فيه المشكلات غير الواضحة إلى الظهور.

مفاتيح SSH في GCP

لدى Google Cloud نموذجين مختلفين للوصول إلى SSH:

1. OS Login
2. مفاتيح SSH المستندة إلى البيانات الوصفية

وهذا هو بالضبط السبب الذي يجعل برنامج Google Cloud Platform غالبًا ما يخلق الشعور بأن “المفاتيح مخفية في مكان ما”.

إذا لم يتم استخدام تسجيل الدخول إلى نظام التشغيل، فيمكنك إضافة مفتاح SSH العام:

• إما في البيانات الوصفية للمشروع،
• أو في بيانات تعريف المثيل لجهاز افتراضي محدد.

الوثائق الرسمية:

• إضافة مفاتيح SSH / نظرة عامة على الوصول: https://docs.cloud.google.com/compute/docs/access
• استكشاف أخطاء أخطاء SSH وإصلاحها: https://docs.cloud.google.com/compute/docs/troubleshooting/troubleshooting-ssh-errors

إذا كنت تحتاج فقط إلى SSH لجهاز افتراضي واحد محدد، فعادةً ما يكون استخدام بيانات تعريف المثيل أكثر ملاءمة من إضافة المفتاح على مستوى المشروع.

مكان فتح المنفذ في GCP

في Google Cloud، لا تفتح المنفذ بشكل أساسي “داخل الجهاز الافتراضي”. نقطة التحكم الرئيسية هي قواعد جدار الحماية VPC.

الوثائق الرسمية:

• نظرة عامة على قواعد جدار الحماية: https://docs.cloud.google.com/firewall/docs/firewalls
• استخدام قواعد جدار الحماية: https://docs.cloud.google.com/firewall/docs/using-firewalls

من الناحية العملية، يبدو التدفق كما يلي:

1. فتح جدار الحماية VPC؛
2. إنشاء قاعدة؛
3. السماح بـ منفذ UDP المطلوب؛
4. قم بتطبيقه على علامات VM / الهدف / الشبكة المناسبة.

يعد هذا أحد الأسباب الأكثر شيوعًا التي تجعل شيئًا ما في Google Cloud Platform يبدو “مثبتًا بشكل صحيح” ولكنه لا يقبل الاتصالات الخارجية.

ما هي المنافذ التي يجب أن تختارها؟

لا يوجد منفذ عالمي “أفضل” هنا.

يبدو النهج العملي كما يلي:

للنشر الأول

• اختر منفذ UDP واحدًا واضحًااا؛
• فتحه على مستوى جدار الحماية السحابي / مجموعة الأمان / NSG / VPC جدار الحماية؛
• استخدم نفس المنفذ في الإعداد واجعل النشر الأول بسيطًا.

إذا لم ينجح

تحقق من الأشياء بهذا الترتيب:

1. هل المنفذ مفتوح على مستوى الموفر؛
2. هل قمت بتحديد البروتوكول الصحيح؟
3. هل قمت بلصق المفتاح الصحيح؟
4. هل اسم المستخدم صحيح؛
5. هل تستخدم public IP بدلاً من عنوان IP الداخلي؟
6. هل حان الوقت لتبديل المنفذ؟

إذا كنت تريد أسرع طريقة لاستبعاد مشكلة على مستوى الشبكة، فغالبًا ما تكون الخطوة الأكثر فائدة هي تجربة منفذ UDP مختلف.

أخطاء شائعة

الخلط بين المفتاح العام والمفتاح الخاص

الفشل الأكثر شيوعا.

القاعدة البسيطة:

• .pub → ينتقل إلى لوحة الموفر
• بدون .pub → يذهب إلى Amnezia

اسم مستخدم خاطئ

في DigitalOcean، يكون هذا عادةً root، ولكن في AWS وAzure وGCP وصور VM المختلفة قد لا يكون ذلك صحيحًا.

منفذ UDP غير مفتوح

قد يتم تثبيت الخادم بشكل صحيح، ولكن لن تتمكن حركة المرور الخارجية من الوصول إليه.

استخدام عنوان IP خاطئ

يحتاج Amnezia إلى IP العام، وليس إلى العنوان الداخلي للجهاز الافتراضي.

تعديل الإعدادات مبكرًا جدًا

إذا كان الاتصال الأساسي لا يزال لا يعمل، فلا تبدأ في ضبط كل شيء على الفور. احصل أولاً على اتصال عمل عادي.

ماذا تفعل بعد ذلك

بمجرد حصولك على أول خادم AWG2 يعمل، فإن المواضيع التالية المنطقية هي:

1. إعدادات AmneziaWG2
2. مقارنة AWG2 وWireGuard وVLESS Reality
3. الإعداد السريع VLESS Reality
4. التوجيه عبر Cloudflare WARP
5. سيناريوهات أكثر تقدمًا من جانب الخادم

لذا فإن هذه المقالة هي نقطة الدخول: كيفية تشغيل إعداد AWG2 المستضاف ذاتيًا بشكل سريع، وليست دورة كاملة في إدارة خادم VPN.

ضمن قاعدة المعرفة الخاصة بـ NimbusVPN، أقرب القراءات التالية هي صفحة ميزات WireGuard + XRay (VLESS) ودليل استكشاف أخطاء XRay وإصلاحها للشبكات المقيدة.

إذا كنت تريد تسلسل المتابعة الأكثر عملية بعد النشر، فتابع مع أفضل إعدادات VPN على Android، ثم Split Tunneling على Android إذا كان يجب على بعض التطبيقات فقط استخدام النفق.

ملخص قصير

إذا أردت الطريق العملي الأسرع فهو هذا:

• إنشاء VPS؛
• الحصول على وصول SSH؛
• أضف المفتاح العام على جانب الموفر؛
• الصق المفتاح الخاص وعنوان IP واسم المستخدم في Amnezia؛
• اختر يدوي → Amnezia WireGuard;
• ضبط المنفذ؛
• انتظر التثبيت.
• يتصل؛
• التحقق من IP.

في DigitalOcean، هذا هو المسار الأكثر وضوحًا ومباشرة. في AWS وAzure، قد تعمل البوابة على تبسيط عملية إنشاء المفاتيح. في Google Cloud، عادة ما يكون هناك ارتباك حول نموذج SSH وقواعد جدار الحماية VPC.

ولكن إذا وضعت ثلاثة أشياء في الاعتبار — المفتاح الصحيح، واسم المستخدم الصحيح، ومنفذ UDP مفتوح — يصبح التدفق الأولي المستضاف ذاتيًا بسيطًا للغاية.