Cómo levantar rápido tu propio servidor AmneziaWG2 en un VPS

Si quieres la forma más rápida de tener tu propio servidor VPN sin pelearte con una instalación manual por consola, el flujo self-hosted de Amnezia es una de las opciones más cómodas. Creas un VPS, le das acceso SSH a la app, eliges el protocolo, y el cliente se conecta al servidor e instala por su cuenta todo lo necesario.

En esta guía, el flujo principal está mostrado con DigitalOcean, porque ahí el proceso es lo más directo posible. Más abajo también explico qué hacer si usas AWS, Azure o Google Cloud Platform, sobre todo en la parte de claves SSH y apertura del puerto correcto.

Una aclaración importante desde el inicio: en algunas pantallas de Amnezia puede aparecer solo Amnezia WireGuard, sin destacar la versión. Pero en el flujo self-hosted actual, en clientes compatibles, lo que terminas desplegando es AmneziaWG 2.0.

Ruta rápida

Si no necesitas todos los detalles, el flujo completo es este:

1. crear un VPS;
2. preparar una clave SSH;
3. agregar la public key en tu proveedor;
4. copiar la private key, la IP y el username;
5. instalar Amnezia;
6. elegir Self-hosted VPN;
7. pegar la IP, el username y la private key;
8. elegir Manual → Amnezia WireGuard;
9. definir el puerto;
10. esperar la instalación;
11. conectarte y verificar que la IP cambió.

Abajo viene la versión completa paso a paso.

Qué necesitas

• un VPS con IP pública
• acceso SSH al servidor
• una clave SSH
• la app Amnezia instalada
• 3 a 5 minutos

Public key y private key: no las confundas

Este es el error más común.

Cuando generas una clave SSH, obtienes dos archivos:

• private key — la clave privada, que se queda solo contigo;
• public key — la clave pública, que agregas en el panel del proveedor.

En el caso más típico:

• el archivo con extensión .pub es la public key;
• el archivo sin .pub es la private key.

En la práctica, eso significa:

• en DigitalOcean y muchas veces en Google Cloud, subes la public key;
• en Amnezia, pegas la private key;
• en AWS y Azure, el portal puede generar las claves por ti, así que la lógica cambia un poco; más abajo lo explico.

DigitalOcean: el escenario más simple

Para un tutorial como este, DigitalOcean realmente es una de las opciones más sencillas.

Paso 1. Crea una clave SSH

Si ya tienes una clave SSH separada para este servidor, perfecto: úsala. Si no, crea una nueva.

Comando básico:

ssh-keygen

Después de eso, el sistema te mostrará dónde guardó las claves. Lo que necesitas ahora es la public key, es decir, el archivo con .pub.

Para mostrarla en la terminal y copiarla:

cat ~/.ssh/NOMBRE_DE_LA_CLAVE.pub

Si dejaste el nombre por defecto, la ruta normalmente se verá así:

cat ~/.ssh/id_ed25519.pub

Paso 2. Agrega la public key en DigitalOcean

En DigitalOcean, la public key se sube a tu cuenta y luego se adjunta al nuevo droplet durante la creación.

Ruta oficial: DigitalOcean Control Panel → Settings → Security → Add SSH Key

Instrucciones oficiales:

• Add SSH keys to a team: https://docs.digitalocean.com/platform/teams/how-to/upload-ssh-keys/
• Create a Droplet: https://docs.digitalocean.com/products/droplets/how-to/create/
• Add SSH keys to new or existing Droplets: https://docs.digitalocean.com/products/droplets/how-to/add-ssh-keys/

Ni siquiera hace falta salir de la página de creación del droplet: ahí mismo hay un botón New SSH Key que hace exactamente lo mismo.

Paso 3. Crea el droplet

Para el primer despliegue, esto es suficiente:

• Ubuntu
• cualquier plan básico
• autenticación con SSH key
• la public key que creaste

Cuando el droplet esté listo, vas a necesitar:

• la IP pública
• el username
• tu private key

En DigitalOcean, el username por defecto en un droplet Ubuntu típico suele ser root.

Instalar Amnezia

Mientras se crea la VPS, puedes descargar el cliente de una vez.

Página de descarga: https://amnezia.org/

Amnezia tiene versiones para:

• Windows
• macOS
• Linux
• Android
• iOS

Instala la app, ábrela y toca Let’s get started.

Configuración de AmneziaWG2 self-hosted

Paso 1. Elige Self-hosted VPN

Dentro de la app, elige:

Self-hosted VPN

Después de eso, vas a necesitar tres cosas:

• la IP del servidor
• el username
• la private SSH key

Paso 2. Pega la private key

Aquí necesitas la private key, no el archivo .pub.

Por ejemplo, si tu public key es:

~/.ssh/id_ed25519.pub

entonces la private key normalmente será:

~/.ssh/id_ed25519

Puedes verla así:

cat ~/.ssh/id_ed25519

Copia todo el contenido y pégalo en Amnezia.

Paso 3. Indica el username

En DigitalOcean, normalmente será:

root

En otros proveedores, el username puede ser distinto, así que no pongas root por defecto en todos lados.

Paso 4. Indica la IP

Copia la IP pública de la VPS desde el panel del proveedor y pégala en Amnezia.

Paso 5. Elige Manual → Amnezia WireGuard

Después, la app te va a preguntar el tipo de instalación. Elige:

• Manual
• luego Amnezia WireGuard

Aquí es donde mucha gente se confunde con el nombre: la interfaz puede no remarcar “version 2”, pero en el flujo self-hosted actual esto es AWG 2.0, siempre que tu cliente soporte la versión nueva.

Instrucción oficial de AmneziaWG 2.0 para self-hosted: https://docs.amnezia.org/ru/documentation/instructions/new-amneziawg-selfhosted/

Paso 6. Define el puerto

En el video se usa el puerto 8080, y para un primer setup práctico es una opción perfectamente razonable.

Lo importante es entender esto:

• ese es el puerto del servidor VPN, no el puerto SSH;
• si el protocolo no levanta, muchas veces el problema no es el protocolo como tal, sino que el puerto está cerrado;
• si un puerto concreto no funciona, normalmente es más rápido probar otro antes de empezar a buscar una causa de red más complicada.

Troubleshooting oficial de AmneziaWG self-hosted: https://docs.amnezia.org/troubleshooting/self-hosted-amneziawg-not-working/

Ahí recomiendan explícitamente probar otro puerto por debajo de 9999, por ejemplo 585 o 1234, si aparece algún problema.

Paso 7. Espera la instalación automática

Después de eso, Amnezia hará lo siguiente:

• conectarse al servidor por SSH;
• instalar todo lo necesario;
• preparar la configuración;
• agregar la conexión dentro de la app.

Esa es precisamente la gran ventaja del flujo self-hosted: no tienes que instalar todo manualmente desde la consola.

Paso 8. Conéctate y verifica la IP

Cuando termine la instalación, aparecerá el botón Connect.

Luego:

1. toca Connect;
2. espera a que el túnel suba;
3. abre cualquier servicio para revisar IP;
4. actualiza la página y verifica que la IP ahora coincide con la de tu VPS.

Si la IP cambió a la IP de tu servidor, el setup básico ya está listo.

Qué hacer si no usas DigitalOcean

Abajo tienes un resumen práctico para otros proveedores comunes.

AWS: claves SSH y puerto

En AWS EC2, el flujo es diferente al de DigitalOcean.

Claves SSH en AWS

En AWS, no es obligatorio generar la clave SSH localmente por adelantado. Cuando creas una instancia EC2, puedes:

• seleccionar un key pair existente;
• o crear un key pair nuevo directamente en la consola.

Cuando creas un key pair nuevo, AWS te deja descargar la private key (por ejemplo, un archivo .pem) una sola vez. La public key se asocia a la instancia automáticamente.

Documentación oficial:

• EC2 key pairs: https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html

Así que en AWS, la forma más simple es:

1. crear el key pair durante el lanzamiento de la EC2;
2. descargar la private key;
3. usar esa private key en Amnezia.

Dónde abrir el puerto en AWS

En AWS, necesitas un Security Group con una regla de entrada para el puerto UDP necesario.

Ruta: EC2 → Instance → Security Group asociado → Edit inbound rules

Documentación oficial:

• Change security groups: https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/changing-security-group.html
• Security group rules reference: https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html

Si no existe la regla de entrada UDP, el servidor puede instalarse bien, pero las conexiones externas no van a funcionar.

Azure: claves SSH y puerto

En Azure, el flujo también es bastante cómodo.

Claves SSH en Azure

Azure puede generar y guardar claves SSH directamente en el portal. Eso es útil si no quieres crear la clave manualmente en tu equipo antes.

Documentación oficial:

• Generate and store SSH keys in Azure portal: https://learn.microsoft.com/en-us/azure/virtual-machines/ssh-keys-portal
• Connect to a Linux VM: https://learn.microsoft.com/en-us/azure/virtual-machines/linux-vm-connect

Así que en Azure tienes dos opciones:

1. usar tu public key existente;
2. dejar que Azure genere las claves al crear la VM.

En ambos casos, lo que Amnezia va a necesitar al final es la private key.

Dónde abrir el puerto en Azure

En Azure, la apertura del puerto normalmente pasa por:

• Networking
• y/o Network Security Group (NSG)

Documentación oficial:

• Network security groups overview/tutorial: https://learn.microsoft.com/en-us/azure/virtual-network/tutorial-filter-network-traffic
• NSG management: https://learn.microsoft.com/en-us/azure/virtual-network/manage-network-security-group

En la práctica, necesitas una regla de entrada para tu puerto UDP.

Google Cloud Platform: donde suele haber más confusión

Aquí es donde suelen aparecer los puntos menos obvios.

Claves SSH en GCP

Google Cloud tiene dos modelos distintos de acceso SSH:

1. OS Login
2. metadata-based SSH keys

Justamente por eso, en GCP muchas veces da la sensación de que “las claves están escondidas en algún lado”.

Si no estás usando OS Login, puedes agregar la public SSH key:

• ya sea en project metadata,
• o en instance metadata para una VM específica.

Documentación oficial:

• Add SSH keys / access overview: https://docs.cloud.google.com/compute/docs/access
• Troubleshooting SSH errors: https://docs.cloud.google.com/compute/docs/troubleshooting/troubleshooting-ssh-errors

Si solo necesitas SSH para una VM concreta, normalmente es más práctico usar instance metadata que agregar la clave a nivel de proyecto.

Dónde abrir el puerto en GCP

En Google Cloud, no abres el puerto principalmente “dentro de la VM”. El punto principal de control son las VPC firewall rules.

Documentación oficial:

• Firewall rules overview: https://docs.cloud.google.com/firewall/docs/firewalls
• Using firewall rules: https://docs.cloud.google.com/firewall/docs/using-firewalls

En la práctica, el flujo es este:

1. abrir el VPC firewall;
2. crear una regla;
3. permitir el puerto UDP necesario;
4. aplicar la regla a la VM / target tags / red correctos.

Esa es una de las razones más comunes por las que algo en GCP parece “instalado correctamente”, pero sigue sin aceptar conexiones desde fuera.

Qué puertos elegir

Aquí no existe un puerto “mejor” universal.

Un enfoque práctico sería este:

Para el primer despliegue

• elige un puerto UDP claro;
• ábrelo a nivel de cloud firewall / security group / NSG / VPC firewall;
• usa ese mismo puerto en el setup y no compliques el primer despliegue.

Si no funciona

Revisa esto en este orden:

1. ¿el puerto está abierto a nivel del proveedor?
2. ¿elegiste el protocolo correcto?
3. ¿pegaste la clave correcta?
4. ¿el username es correcto?
5. ¿estás usando la IP pública y no una interna?
6. ¿no conviene simplemente cambiar el puerto?

Si quieres descartar rápido un problema de red, el paso más útil suele ser probar otro puerto UDP.

Errores típicos

Confundir la public key con la private key

Es el fallo más común.

La regla simple:

• .pub → va al panel del proveedor
• sin .pub → va a Amnezia

Username incorrecto

En DigitalOcean normalmente es root, pero en AWS, Azure, GCP y distintas imágenes eso puede cambiar.

Puerto UDP no abierto

El servidor puede instalarse bien, pero el tráfico externo no va a pasar.

IP equivocada

Amnezia necesita la IP pública, no la dirección interna de la VM.

Empezar a tocar ajustes demasiado pronto

Si la conexión básica todavía no funciona, no te pongas a ajustar todo de inmediato. Primero consigue una conexión normal que funcione.

Qué hacer después

Cuando ya tengas tu primer servidor AWG2 funcionando, los siguientes temas lógicos son:

1. ajustes de AmneziaWG2
2. comparación de AWG2 vs WireGuard vs VLESS Reality
3. instalación rápida de VLESS Reality
4. enrutamiento a través de Cloudflare WARP
5. escenarios server-side más avanzados

Es decir, este material es un punto de entrada: cómo levantar rápido un AWG2 self-hosted funcional, no un curso completo de administración de servidores VPN.

Resumen corto

Si quieres la vía más rápida en la práctica, es esta:

• crear un VPS;
• obtener acceso SSH;
• agregar la public key del lado del proveedor;
• pegar la private key, la IP y el username en Amnezia;
• elegir Manual → Amnezia WireGuard;
• definir el puerto;
• esperar la instalación;
• conectarte;
• verificar la IP.

En DigitalOcean, este es el camino más directo y visual. En AWS y Azure, el portal puede simplificar la generación de claves. En Google Cloud, la mayor confusión suele estar en el modelo SSH y las reglas de VPC firewall.

Pero si mantienes en mente tres cosas — la clave correcta, el username correcto y el puerto UDP abierto — el flujo self-hosted inicial se vuelve bastante simple.