AmneziaWG2 auf einem VPS: DigitalOcean, AWS, Azure, GCP

Wenn Sie den schnellsten Pfad zu Ihrem eigenen VPN-Server wünschen, ohne manuell eine vollständige Konsoleneinrichtung durchzuführen, ist der selbstgehostete Ablauf in Amnezia eine der einfachsten Optionen. Sie erstellen einen VPS, gewähren der App SSH-Zugriff, wählen ein Protokoll und der Client stellt eine Verbindung zum Server her und installiert alles, was er benötigt, selbstständig.

In diesem Handbuch wird in der Hauptanleitung DigitalOcean verwendet, da dies die einfachste Option ist. Im Folgenden erkläre ich auch, was zu tun ist, wenn Sie AWS, Azure oder Google Cloud Platform verwenden – insbesondere, wenn es um SSH-Schlüssel und das Öffnen des richtigen Ports geht.

Eine wichtige Klarstellung vorab: In einigen Teilen der Amnezia-Benutzeroberfläche wird möglicherweise nur Amnezia WireGuard ohne Versionsnummer angezeigt. Aber im aktuellen selbstgehosteten Flow auf unterstützten Client-Versionen stellen Sie letztendlich AmneziaWG 2.0 bereit.

Wenn Sie den Protokollkontext vor der Bereitstellung benötigen, vergleichen Sie zunächst WireGuard mit XRay (VLESS/Reality), damit Sie wissen, was selbstgehostetes AWG2 löst und was nicht.

Schnelle Antwort

– Verwenden Sie diesen Leitfaden, wenn Sie Ihr eigenes VPS-gestütztes VPN mit dem selbstgehosteten Ablauf von Amnezia bereitstellen möchten, anstatt ein normal verwaltetes Android-VPN zu verwenden.

• Beginnen Sie mit DigitalOcean, wenn Sie den einfachsten Weg wünschen. Verwenden Sie AWS, Azure oder GCP nur, wenn Sie bereits einen Grund haben, auf diesen Plattformen zu bleiben.
• Die wichtigste praktische Regel ist einfach: Laden Sie den öffentlichen Schlüssel zum Cloud-Anbieter hoch, aber fügen Sie den privaten Schlüssel in Amnezia ein.
• Wenn Sie nicht versuchen, Ihren eigenen Server zu betreiben, ist dies der falsche Ausgangspunkt. Verwenden Sie zunächst eine normale Android-Einrichtung-Anleitung.

Schnelle Entscheidung: Ist das der richtige Ratgeber?

Öffnen Sie diese Anleitung, wenn Sie Ihren eigenen VPN-Server auf einem VPS mit dem selbstgehosteten Flow von Amnezia bereitstellen möchten.

Wenn Ihr Ziel anders ist, sind diese Seiten normalerweise ein besserer Ausgangspunkt:

– Vor der Bereitstellung ist ein Protokollkontext erforderlich: WireGuard vs. XRay (VLESS/Reality) auf Android

• Sie benötigen ein normales Android-Einrichtung anstelle eines VPS: So richten Sie ein VPN auf Android ein
• Benötigen Sie Hilfe bei gefilterten oder restriktiven Netzwerken: XRay (VLESS/Reality)-Fehlerbehebung auf Android – Routing auf App-Ebene nach der Einrichtung gewünscht: Split-Tunneling-Leitfaden für Android

Schnelle Route

Wenn Sie die Details nicht benötigen, sieht der gesamte Ablauf so aus:

1. Erstellen Sie einen VPS.
2. Bereiten Sie einen SSH-Schlüssel vor;
3. Fügen Sie den öffentlichen Schlüssel zu Ihrem Hosting-Anbieter hinzu;
4. Kopieren Sie den privaten Schlüssel, die IP und den Benutzernamen;
5. Amnezia installieren;
6. Wählen Sie Selbst gehostetes VPN;
7. Fügen Sie die IP, den Benutzernamen und den privaten Schlüssel ein.
8. Wählen Sie Handbuch → Amnezia WireGuard;
9. Stellen Sie den Port ein.
10. Warten Sie auf die Installation;
11. Stellen Sie eine Verbindung her und überprüfen Sie, ob sich Ihre IP geändert hat.

Nachfolgend finden Sie die richtige Schritt-für-Schritt-Version.

Was Sie brauchen

• ein VPS mit einer öffentlichen IP
• SSH-Zugriff auf den Server
• ein SSH-Schlüssel
• Die Amnezia-App installiert
• 3–5 Minuten

Öffentlicher Schlüssel vs. privater Schlüssel: Verwechseln Sie sie nicht

Dies ist die häufigste Fehlerquelle.

Wenn Sie einen SSH-Schlüssel generieren, erhalten Sie ein Paar von Dateien:

• privater Schlüssel – der geheime Schlüssel, der nur bei Ihnen bleibt;
• öffentlicher Schlüssel – der Schlüssel, den Sie Ihrem Anbieter-Panel hinzufügen.

In einem typischen Einrichtung:

• Die Datei mit der Erweiterung .pub ist der öffentliche Schlüssel;
• Die Datei ohne .pub ist der private Schlüssel.

In der Praxis bedeutet das:

• Auf DigitalOcean und oft auch auf Google Cloud laden Sie den öffentlichen Schlüssel hoch;
• In Amnezia fügen Sie den privaten Schlüssel ein; – Auf AWS und Azure generiert das Portal möglicherweise die Schlüssel für Sie, daher ist der Ablauf etwas anders – mehr dazu weiter unten.

DigitalOcean: das einfachste Szenario

Für diese Art von Reiseleitfaden ist DigitalOcean wirklich eine der einfachsten Optionen.

Schritt 1. Erstellen Sie einen SSH-Schlüssel

Wenn Sie bereits einen separaten SSH-Schlüssel für diesen Server haben, verwenden Sie ihn. Wenn nicht, erstellen Sie ein neues.

Grundbefehl:

ssh-keygen

Danach zeigt das System an, wo es die Schlüssel gespeichert hat. Als nächstes benötigen Sie den öffentlichen Schlüssel, also die Datei mit .pub.

Um es im Terminal auszudrucken und zu kopieren:

cat ~/.ssh/KEY_NAME.pub

Wenn Sie den Standardnamen beibehalten haben, sieht der Pfad normalerweise so aus:

cat ~/.ssh/id_ed25519.pub

Schritt 2. Fügen Sie den öffentlichen Schlüssel zu DigitalOcean hinzu

Bei DigitalOcean wird der öffentliche Schlüssel auf Ihr Konto hochgeladen und dann während der Erstellung an das neue Droplet angehängt.

Offizieller Weg: DigitalOcean-Systemsteuerung → Einstellungen → Sicherheit → SSH-Schlüssel hinzufügen

Offizielle Anweisungen: – SSH-Schlüssel zu einem Team hinzufügen: https://docs.digitalocean.com/platform/teams/how-to/upload-ssh-keys/

• Erstellen Sie ein Droplet: https://docs.digitalocean.com/products/droplets/how-to/create/ – SSH-Schlüssel zu neuen oder vorhandenen Droplets hinzufügen: https://docs.digitalocean.com/products/droplets/how-to/add-ssh-keys/

Sie müssen nicht einmal die Seite zur Droplet-Erstellung verlassen: Dort gibt es eine Schaltfläche Neuer SSH-Schlüssel, die das Gleiche bewirkt.

Schritt 3. Erstellen Sie das Tröpfchen

Für einen ersten Einsatz reicht Folgendes:

• Ubuntu
• irgendein Grundplan
• SSH-Schlüsselauthentifizierung
• der von Ihnen erstellte öffentliche Schlüssel

Sobald das Tröpfchen fertig ist, benötigen Sie:

• die öffentliche IP
• der Benutzername
• Ihr privater Schlüssel

Auf DigitalOcean lautet der Standardbenutzername für ein typisches Ubuntu-Droplet root.

Installieren Sie Amnezia

Während der VPS erstellt wird, können Sie den Client sofort herunterladen.

Download-Seite: https://amnezia.org/

Amnezia hat Versionen für:

• Windows
• macOS
• Linux
• Android
• iOS

Installieren Sie die App, starten Sie sie und klicken Sie auf Los geht’s.

Selbstgehostetes AmneziaWG2 einrichten

Schritt 1: Wählen Sie „Selbst gehostetes VPN“.

Wählen Sie in der App:

Selbst gehostetes VPN

Dann benötigen Sie drei Dinge:

• die Server-IP
• der Benutzername
• der private SSH-Schlüssel

Schritt 2. Fügen Sie den privaten Schlüssel ein

Hier benötigen Sie den privaten Schlüssel, nicht die Datei .pub.

Wenn Ihr öffentlicher Schlüssel beispielsweise lautet:

~/.ssh/id_ed25519.pub

dann lautet der private Schlüssel normalerweise:

~/.ssh/id_ed25519

Sie können es so ausdrucken:

cat ~/.ssh/id_ed25519

Kopieren Sie den vollständigen Inhalt und fügen Sie ihn in Amnezia ein.

Schritt 3. Geben Sie den Benutzernamen ein

Auf DigitalOcean ist dies normalerweise:

root

Bei anderen Anbietern kann der Benutzername anders sein, füllen Sie daher nicht überall automatisch root aus.

Schritt 4. Geben Sie die IP ein

Kopieren Sie die öffentliche IP des VPS aus Ihrem Provider-Panel und fügen Sie sie in Amnezia ein.

Schritt 5. Wählen Sie Manuell → Amnezia WireGuard

Als nächstes fragt die App nach der Installationsart. Wählen Sie:

• Handbuch
• dann Amnezia WireGuard

Hier kommt es oft zu Verwirrung bei der Namensgebung: Die Schnittstelle sagt vielleicht nicht explizit „Version 2“, aber im aktuellen selbstgehosteten Ablauf ist dies AWG 2.0, solange Ihr Client die neuere Version unterstützt.

Offizielle selbstgehostete AmneziaWG 2.0-Anweisungen: https://docs.amnezia.org/ru/documentation/instructions/new-amneziawg-selfhosted/

Schritt 6: Stellen Sie den Port ein

Das Video verwendet Port 8080 und für eine praktische Ersteinrichtung ist das eine durchaus vernünftige Wahl.

Worauf es hier ankommt:

• Dies ist der VPN-Server-Port, nicht der SSH-Port;
• Wenn das Protokoll nicht angezeigt wird, liegt das Problem häufig nicht am Protokoll selbst, sondern daran, dass der Port geschlossen ist.
• Wenn ein bestimmter Port nicht funktioniert, ist es in der Regel schneller, zuerst einen anderen auszuprobieren, als sofort mit der Suche nach einer komplizierten Netzwerkursache zu beginnen.

Offizielle Fehlerbehebung für die selbstgehostete AmneziaWG: https://docs.amnezia.org/troubleshooting/self-hosted-amneziawg-not-working/

Sie empfehlen ausdrücklich, einen anderen Port unter 9999 auszuprobieren, z. B. 585 oder 1234, wenn Probleme auftreten.

Schritt 7. Warten Sie auf die automatische Installation

Danach wird Amnezia:

• Über SSH eine Verbindung zum Server herstellen;
• alles Notwendige installieren;
• Bereiten Sie die Konfiguration vor;
• Fügen Sie die Verbindung innerhalb der App hinzu.

Das ist der Hauptvorteil des selbstgehosteten Flows: Sie müssen nicht alles manuell über die Konsole installieren.

Schritt 8. Verbinden und überprüfen Sie die IP

Sobald die Installation abgeschlossen ist, wird die Schaltfläche Verbinden angezeigt.

Dann:

1. Drücken Sie Verbinden;
2. Warten Sie, bis der Tunnel auftaucht.
3. Öffnen Sie einen beliebigen IP-Check-Dienst.
4. Aktualisieren Sie die Seite und überprüfen Sie, ob die IP jetzt mit Ihrem VPS übereinstimmt.

Wenn sich die IP zu Ihrer Server-IP ändert, ist die Grundeinrichtung abgeschlossen.

Was ist, wenn Sie DigitalOcean nicht verwenden?

Nachfolgend finden Sie eine kurze praktische Zusammenfassung für andere gängige Anbieter.

AWS: SSH-Schlüssel und Port

Auf AWS EC2 unterscheidet sich der Ablauf von DigitalOcean.

SSH-Schlüssel auf AWS

Auf AWS müssen Sie nicht vorab lokal einen SSH-Schlüssel generieren. Wenn Sie eine EC2-Instanz erstellen, können Sie:

• Wählen Sie ein vorhandenes Schlüsselpaar aus;
• oder erstellen Sie direkt in der Konsole ein neues Schlüsselpaar.

Wenn Sie ein neues Schlüsselpaar erstellen, können Sie mit AWS den privaten Schlüssel (z. B. eine .pem-Datei) einmal herunterladen. Der öffentliche Schlüssel wird dann automatisch an die Instanz angehängt.

Offizielle Dokumentation:

• EC2-Schlüsselpaare: https://docs.aws.amazon.com/AWSEC2/latest/UserLeitfaden/ec2-key-pairs.html

Bei AWS ist der einfachste Weg also:

1. Erstellen Sie das Schlüsselpaar im EC2-Startablauf.
2. Laden Sie den privaten Schlüssel herunter.
3. Verwenden Sie diesen privaten Schlüssel in Amnezia.

Wo soll der Port auf AWS geöffnet werden?

Auf AWS benötigen Sie eine Sicherheitsgruppe mit einer Eingangsregel für den erforderlichen UDP-Port.

Pfad: EC2 → Instanz → angehängte Sicherheitsgruppe → Eingehende Regeln bearbeiten

Offizielle Dokumentation:

• Sicherheitsgruppen ändern: https://docs.aws.amazon.com/AWSEC2/latest/UserLeitfaden/changing-security-group.html – Referenz zu Sicherheitsgruppenregeln: https://docs.aws.amazon.com/AWSEC2/latest/UserLeitfaden/security-group-rules-reference.htmlWenn die eingehende UDP-Regel fehlt, wird der Server möglicherweise erfolgreich installiert, externe Verbindungen funktionieren jedoch nicht.

Azure: SSH-Schlüssel und Port

Auf Azure ist der Ablauf ebenfalls recht komfortabel.

SSH-Schlüssel in Azure

Azure kann SSH-Schlüssel direkt im Portal generieren und speichern. Das ist nützlich, wenn Sie nicht zuerst lokal einen Schlüssel erstellen möchten.

Offizielle Dokumentation: – Generieren und speichern Sie SSH-Schlüssel im Azure-Portal: https://learn.microsoft.com/en-us/azure/virtual-machines/ssh-keys-portal

• Stellen Sie eine Verbindung zu einer Linux-VM her: https://learn.microsoft.com/en-us/azure/virtual-machines/linux-vm-connect

Auf Azure haben Sie also zwei Möglichkeiten:

1. Verwenden Sie Ihren vorhandenen öffentlichen Schlüssel.
2. Lassen Sie Azure beim Erstellen der VM die Schlüssel generieren.

In beiden Fällen benötigt Amnezia letztendlich den privaten Schlüssel.

Wo soll der Port in Azure geöffnet werden?

In Azure erfolgt das Öffnen des Ports normalerweise wie folgt:

• Netzwerken
• und/oder Netzwerksicherheitsgruppe (NSG)

Offizielle Dokumentation:

• Übersicht/Tutorial zu Netzwerksicherheitsgruppen: https://learn.microsoft.com/en-us/azure/virtual-network/tutorial-filter-network-traffic
• NSG-Verwaltung: https://learn.microsoft.com/en-us/azure/virtual-network/manage-network-security-group

In der Praxis benötigen Sie eine Eingangsregel für Ihren UDP-Port.

Google Cloud Platform: Wo die Leute am häufigsten verwirrt sind

Hier tauchen meist die nicht offensichtlichsten Probleme auf.

SSH-Schlüssel in GCP

Google Cloud verfügt über zwei verschiedene SSH-Zugriffsmodelle:

1. OS-Anmeldung
2. metadatenbasierte SSH-Schlüssel

Genau aus diesem Grund entsteht bei GCP oft das Gefühl, dass „der Schlüssel irgendwo versteckt“ sei.

Wenn OS Login nicht verwendet wird, können Sie den öffentlichen SSH-Schlüssel hinzufügen:

• entweder in Projektmetadaten, – oder in Instanzmetadaten für eine bestimmte VM.

Offizielle Dokumentation:

• SSH-Schlüssel hinzufügen / Zugriffsübersicht: https://docs.cloud.google.com/compute/docs/access – Fehlerbehebung bei SSH-Fehlern: https://docs.cloud.google.com/compute/docs/troubleshooting/troubleshooting-ssh-errors

Wenn Sie SSH nur für eine bestimmte VM benötigen, ist die Verwendung von Instanzmetadaten in der Regel bequemer als das Hinzufügen des Schlüssels auf Projektebene.

Wo soll der Port in GCP geöffnet werden?

Bei Google Cloud öffnen Sie den Port nicht primär „innerhalb der VM“. Der Hauptkontrollpunkt sind VPC-Firewallregeln.

Offizielle Dokumentation:

• Übersicht über die Firewall-Regeln: https://docs.cloud.google.com/firewall/docs/firewalls
• Verwendung von Firewall-Regeln: https://docs.cloud.google.com/firewall/docs/using-firewalls

In der Praxis sieht der Ablauf so aus:

1. VPC-Firewall öffnen;
2. eine Regel erstellen;
3. Erlauben Sie den erforderlichen UDP-Port;
4. Wenden Sie es auf die richtige VM/Ziel-Tags/Netzwerk an.

Dies ist einer der häufigsten Gründe, warum etwas in GCP „richtig installiert“ aussieht, aber dennoch keine externen Verbindungen akzeptiert.

Welche Ports sollten Sie wählen?

Den allgemeingültigen „besten“ Port gibt es hier nicht.

Ein praktischer Ansatz sieht so aus:

Für die erste Bereitstellung

• Wählen Sie einen freien UDP-Port;
• Öffnen Sie es auf der Ebene der Cloud-Firewall/Sicherheitsgruppe/NSG/VPC-Firewall.
• Verwenden Sie denselben Port in der Einrichtung und halten Sie die erste Bereitstellung einfach.

Wenn es nicht funktioniert

Überprüfen Sie die Dinge in dieser Reihenfolge:

1. Ist der Port auf Anbieterebene geöffnet?
2. Haben Sie das richtige Protokoll ausgewählt?
3. Haben Sie den richtigen Schlüssel eingefügt?
4. Ist der Benutzername korrekt?
5. Verwenden Sie die öffentliche IP anstelle einer internen?
6. Ist es an der Zeit, einfach den Port zu wechseln?

Wenn Sie ein Problem auf Netzwerkebene am schnellsten ausschließen möchten, ist es oft am nützlichsten, einfach einen anderen UDP-Port auszuprobieren.

Häufige Fehler

Verwechslung von öffentlichem und privatem Schlüssel

Der häufigste Fehler.

Die einfache Regel:

• .pub → geht in das Anbieter-Panel
• ohne .pub → geht in Amnezia

Falscher Benutzername

Auf DigitalOcean ist dies normalerweise root, aber auf AWS, Azure, GCP und anderen VM-Images ist dies möglicherweise nicht der Fall.

UDP-Port nicht geöffnet

Der Server wird möglicherweise ordnungsgemäß installiert, der Datenverkehr von außen wird jedoch nicht durchgelassen.

Falsche IP verwenden

Amnezia benötigt die öffentliche IP, nicht die interne Adresse der VM.

Einstellungen zu früh anpassen

Wenn die Grundverbindung immer noch nicht funktioniert, beginnen Sie nicht gleich mit dem Tuning. Stellen Sie zunächst eine normal funktionierende Verbindung her.

Was als nächstes zu tun ist

Sobald Sie Ihren ersten funktionierenden AWG2-Server haben, sind die nächsten logischen Themen:

1. AmneziaWG2-Einstellungen
2. Vergleich von AWG2 vs. WireGuard vs. VLESS/Reality
3. Schnelle Einrichtung von VLESS/Reality
4. Routing über Cloudflare WARP
5. Fortgeschrittenere serverseitige Szenarien

Dieser Artikel ist also der Einstiegspunkt: Wie man schnell ein funktionierendes, selbst gehostetes AWG2-Einrichtung startet, kein vollständiger Kurs in VPN-Serververwaltung.

In der eigenen Wissensdatenbank von NimbusVPN sind die nächstgelegenen nächsten Lektüre unsere WireGuard + XRay (VLESS)-Funktionsseite und der XRay-Fehlerbehebungsleitfaden für restriktive Netzwerke.

Wenn Sie die praktischste Folgesequenz nach der Bereitstellung wünschen, fahren Sie mit Beste VPN-Einstellungen auf Android und dann mit Split-Tunneling auf Android fort, wenn nur einige Apps den Tunnel nutzen sollen.

Kurze Zusammenfassung

Wenn Sie den schnellsten praktischen Weg suchen, ist dieser dieser:

• einen VPS erstellen;
• SSH-Zugriff erhalten;
• Fügen Sie den öffentlichen Schlüssel auf der Anbieterseite hinzu;
• Fügen Sie den privaten Schlüssel, die IP und den Benutzernamen in Amnezia ein;
• Wählen Sie Handbuch → Amnezia WireGuard;
• Stellen Sie den Port ein;
• Warten Sie auf die Installation;
• verbinden;
• Überprüfen Sie die IP.

Auf DigitalOcean ist dies der direkteste und visuellste Weg. Auf AWS und Azure vereinfacht das Portal möglicherweise die Schlüsselgenerierung. Bei Google Cloud liegt die Verwirrung normalerweise im Zusammenhang mit dem SSH-Modell und den VPC-Firewallregeln.

Wenn Sie jedoch drei Dinge im Hinterkopf behalten – den richtigen Schlüssel, den richtigen Benutzernamen und einen offenen UDP-Port – wird der anfängliche selbstgehostete Ablauf sehr einfach.