Si vous souhaitez bénéficier du chemin le plus rapide vers votre propre serveur VPN sans effectuer manuellement une configuration complète de la console, le flux auto-hébergé dans Amnezia est l’une des options les plus simples. Vous créez un VPS, donnez à l’application un accès SSH, choisissez un protocole, et le client se connecte au serveur et installe lui-même tout ce dont il a besoin.
Dans ce guide, la procédure pas à pas principale utilise DigitalOcean, car il s’agit de l’option la plus simple. Ci-dessous, j’explique également ce qu’il faut faire si vous utilisez AWS, Azure ou Google Cloud Platform, en particulier en ce qui concerne les clés SSH et l’ouverture du bon port.
Une précision importante dès le départ : dans certaines parties de l’interface Amnezia, vous ne pouvez voir que Amnezia WireGuard sans numéro de version. Mais dans le flux auto-hébergé actuel sur les versions client prises en charge, vous finissez par déployer AmneziaWG 2.0.
Si vous souhaitez connaître le contexte du protocole avant de déployer, comparez d’abord WireGuard vs XRay (VLESS/Reality) afin de savoir ce qu’AWG2 auto-hébergé résout et ce qu’il ne résout pas.
Réponse rapide
- Utilisez ce guide si vous souhaitez déployer votre propre VPN basé sur VPS avec le flux auto-hébergé d’Amnezia au lieu d’utiliser une configuration VPN Android gérée normale.
- Commencez par DigitalOcean si vous voulez le chemin le plus simple. Utilisez AWS, Azure ou GCP uniquement si vous avez déjà une raison de rester sur ces plateformes.
- La règle pratique la plus importante est simple : téléchargez la clé publique sur le fournisseur de cloud, mais collez la clé privée dans Amnezia.
- Si vous n’essayez pas d’exécuter votre propre serveur, ce n’est pas un bon point de départ. Utilisez d’abord un guide de configuration Android normal.
Décision rapide : est-ce le bon guide ?
Ouvrez ce guide si vous souhaitez déployer votre propre serveur VPN sur un VPS avec le flux auto-hébergé d’Amnezia.
Si votre objectif est différent, ces pages constituent généralement un meilleur point de départ :
- besoin d’un contexte de protocole avant de déployer quoi que ce soit : WireGuard vs XRay (VLESS/Reality) sur Android
- besoin d’une configuration Android normale au lieu d’un VPS : Comment configurer un VPN sur Android
- besoin d’aide sur les réseaux filtrés ou restrictifs : Dépanner XRay (VLESS/Reality) sur Android
- souhaitez un routage au niveau de l’application après la configuration : Split Tunneling sur Android Guide
Itinéraire rapide
Si vous n’avez pas besoin des détails, l’ensemble du flux ressemble à ceci :
- créez un VPS ;
- préparez une clé SSH ;
- ajoutez la clé publique à votre fournisseur d’hébergement ;
- copiez la clé privée, l’adresse IP et le nom d’utilisateur ;
- installez Amnezia ;
- choisissez VPN auto-hébergé ;
- collez l’adresse IP, le nom d’utilisateur et la clé privée ;
- choisissez Manuel → Amnezia WireGuard ;
- définissez le port ;
- attendez l’installation ;
- connectez-vous et vérifiez que votre IP a changé.
Vous trouverez ci-dessous la version appropriée, étape par étape.
Ce dont vous avez besoin
- un VPS avec une IP publique
- Accès SSH au serveur
- une clé SSH
- l’application Amnezia installée
- 3 à 5 minutes
Clé publique vs clé privée : ne pas les confondre
C’est la source d’erreurs la plus courante.
Lorsque vous générez une clé SSH, vous obtenez une paire de fichiers :- clé privée — la clé secrète qui reste uniquement avec vous ;
- clé publique — la clé que vous ajoutez à votre panneau de fournisseur.
Dans la configuration habituelle :
- le fichier avec l’extension
.pubest la clé publique ; - le fichier sans
.pubest la clé privée.
En pratique, cela signifie :
- sur DigitalOcean et souvent sur Google Cloud, vous téléchargez la clé publique ;
- dans Amnezia, vous collez la clé privée ;
- sur AWS et Azure, le portail peut générer les clés pour vous, le flux est donc un peu différent — plus d’informations ci-dessous.
DigitalOcean : le scénario le plus simple
Pour ce type de guide, DigitalOcean est vraiment l’un des choix les plus simples.
Étape 1. Créez une clé SSH
Si vous disposez déjà d’une clé SSH distincte pour ce serveur, parfait : utilisez-la. Sinon, créez-en un nouveau.
Commande de base :
ssh-keygenAprès cela, le système affichera où il a enregistré les clés. Ce dont vous avez ensuite besoin est la clé publique, c’est-à-dire le fichier avec .pub.
Pour l’imprimer dans le terminal et le copier :
cat ~/.ssh/KEY_NAME.pubSi vous avez conservé le nom par défaut, le chemin ressemblera généralement à ceci :
cat ~/.ssh/id_ed25519.pubÉtape 2. Ajoutez la clé publique à DigitalOcean
Sur DigitalOcean, la clé publique est téléchargée sur votre compte puis attachée au nouveau droplet lors de la création.
Chemin officiel : Panneau de configuration DigitalOcean → Paramètres → Sécurité → Ajouter une clé SSH
Consignes officielles :
- Ajouter des clés SSH à une équipe : https://docs.digitalocean.com/platform/teams/how-to/upload-ssh-keys/
- Créer un droplet : https://docs.digitalocean.com/products/droplets/how-to/create/
- Ajouter des clés SSH aux Droplets nouveaux ou existants : https://docs.digitalocean.com/products/droplets/how-to/add-ssh-keys/
Vous n’avez même pas besoin de quitter la page de création de droplet : il y a un bouton Nouvelle clé SSH qui fait la même chose.
Étape 3. Créez le droplet
Pour un premier déploiement, cela suffit :
-Ubuntu
- n’importe quel plan de base
- Authentification par clé SSH
- la clé publique que vous avez créée
Une fois la Droplet prête, vous aurez besoin de :
- l’IP publique
- le nom d’utilisateur
- votre clé privée
Sur DigitalOcean, le nom d’utilisateur par défaut d’un droplet Ubuntu typique est root.
Installer Amnezia
Pendant la création du VPS, vous pouvez télécharger le client immédiatement.
Page de téléchargement : https://amnezia.org/
Amnezia a des versions pour :
-Fenêtres -macOS -Linux -Androïde -iOS
Installez l’application, lancez-la et appuyez sur Commençons.
Configuration d’AmneziaWG2 auto-hébergé
Étape 1. Choisissez un VPN auto-hébergé
Dans l’application, choisissez :
VPN auto-hébergé
Ensuite, vous aurez besoin de trois choses :
- l’IP du serveur
- le nom d’utilisateur
- la clé privée SSH
Étape 2. Collez la clé privée
Ici, vous avez besoin de la clé privée, pas du fichier .pub.
Par exemple, si votre clé publique est :
~/.ssh/id_ed25519.pubalors la clé privée sera généralement :
~/.ssh/id_ed25519Vous pouvez l’imprimer comme ceci :
cat ~/.ssh/id_ed25519Copiez le contenu complet et collez-le dans Amnezia.
Étape 3. Entrez le nom d’utilisateur
Sur DigitalOcean, il s’agit généralement de :
rootSur d’autres fournisseurs, le nom d’utilisateur peut être différent, alors ne remplissez pas automatiquement root partout.
Étape 4. Entrez l’adresse IP
Copiez l’IP publique du VPS depuis le panneau de votre fournisseur et collez-le dans Amnezia.
Étape 5. Choisissez Manuel → Amnezia WireGuard
Ensuite, l’application vous demandera le type d’installation. Choisissez :
- Manuel
- puis Amnezia WireGuard
C’est là que les gens sont souvent confus par le nom : l’interface peut ne pas indiquer explicitement « version 2 », mais dans le flux auto-hébergé actuel, il s’agit de AWG 2.0, tant que votre client prend en charge la version la plus récente.
Instructions officielles d’AmneziaWG 2.0 auto-hébergé : https://docs.amnezia.org/ru/documentation/instructions/new-amneziawg-selfhosted/
Étape 6. Définir le port
La vidéo utilise le port 8080, et pour une première configuration pratique, c’est un choix parfaitement raisonnable.
Ce qui compte ici :
- il s’agit du port du serveur VPN, pas du port SSH ;
- si le protocole n’apparaît pas, le problème n’est souvent pas le protocole lui-même mais le fait que le port est fermé ;
- si un port spécifique ne fonctionne pas, il est généralement plus rapide d’en essayer un autre d’abord que de commencer immédiatement à rechercher une cause complexe du réseau.
Dépannage officiel pour AmneziaWG auto-hébergé : https://docs.amnezia.org/troubleshooting/self-hosted-amneziawg-not-working/
Ils suggèrent explicitement d’essayer un autre port inférieur à 9999, tel que 585 ou 1234, si vous rencontrez des problèmes.
Étape 7. Attendez l’installation automatique
Après cela, Amnezia :
- connectez-vous au serveur via SSH ;
- installer tout ce dont il a besoin ;
- préparer la configuration ;
- ajoutez la connexion dans l’application.
C’est le principal avantage du flux auto-hébergé : vous n’êtes pas obligé de tout installer manuellement depuis la console.
Étape 8. Connectez-vous et vérifiez l’adresse IP
Une fois l’installation terminée, vous verrez un bouton Connecter.
Ensuite :
- appuyez sur Connecter ;
- attendez que le tunnel monte ;
- ouvrez n’importe quel service de vérification IP ;
- Actualisez la page et vérifiez que l’adresse IP correspond désormais à votre VPS.
Si l’adresse IP change pour l’adresse IP de votre serveur, la configuration de base est effectuée.
Que faire si vous n’utilisez pas DigitalOcean ?
Vous trouverez ci-dessous un bref résumé pratique pour d’autres fournisseurs courants.
AWS : clés et port SSH
Sur AWS EC2, le flux est différent de DigitalOcean.
Clés SSH sur AWS
Sur AWS, vous n’êtes pas obligé de générer une clé SSH localement à l’avance. Lorsque vous créez une instance EC2, vous pouvez :
- sélectionnez une paire de clés existante ;
- ou créez une nouvelle paire de clés directement dans la console.
Lorsque vous créez une nouvelle paire de clés, AWS vous permet de télécharger la clé privée (par exemple, un fichier .pem) une seule fois. La clé publique est ensuite automatiquement attachée à l’instance.
Documentation officielle :
- Paires de clés EC2 : https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html
Ainsi, sur AWS, le chemin le plus simple est :
- créez la paire de clés dans le flux de lancement EC2 ;
- téléchargez la clé privée ;
- utilisez cette clé privée dans Amnezia.
Où ouvrir le port sur AWS
Sur AWS, vous avez besoin d’un groupe de sécurité avec une règle entrante pour le port UDP requis.
Chemin : EC2 → Instance → attaché Groupe de sécurité → Modifier les règles entrantes
Documentation officielle :
- Changer les groupes de sécurité : https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/changing-security-group.html
- Référence des règles du groupe de sécurité : https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.htmlSi la règle UDP entrante est manquante, le serveur peut s’installer avec succès, mais les connexions externes ne fonctionneront pas.
Azure : clés et port SSH
Sur Azure, le flux est également assez pratique.
Clés SSH sur Azure
Azure peut générer et stocker des clés SSH directement dans le portail. Ceci est utile si vous ne souhaitez pas d’abord créer une clé localement.
Documentation officielle :
- Générer et stocker des clés SSH dans le portail Azure : https://learn.microsoft.com/en-us/azure/virtual-machines/ssh-keys-portal
- Connectez-vous à une VM Linux : https://learn.microsoft.com/en-us/azure/virtual-machines/linux-vm-connect
Ainsi sur Azure, vous avez deux options :
- utilisez votre clé publique existante ;
- laissez Azure générer les clés lors de la création de la VM.
Dans les deux cas, ce dont Amnezia a finalement besoin, c’est de la clé privée.
Où ouvrir le port sur Azure
Sur Azure, l’ouverture du port se fait généralement via :
- Réseau
- et/ou Groupe de sécurité réseau (NSG)
Documentation officielle :
- Présentation/tutoriel des groupes de sécurité réseau : https://learn.microsoft.com/en-us/azure/virtual-network/tutorial-filter-network-traffic
- Gestion NSG : https://learn.microsoft.com/en-us/azure/virtual-network/manage-network-security-group
En pratique, vous avez besoin d’une règle entrante pour votre port UDP.
Google Cloud Platform : là où les gens sont le plus souvent confus
C’est là que les problèmes les moins évidents ont tendance à apparaître.
Clés SSH dans GCP
Google Cloud propose deux modèles d’accès SSH :
- Connexion au système d’exploitation
- Clés SSH basées sur des métadonnées
C’est exactement pourquoi GCP crée souvent le sentiment que « les clés sont cachées quelque part ».
Si OS Login n’est pas utilisé, vous pouvez ajouter la clé SSH publique :
- soit dans les métadonnées du projet,
- ou dans les métadonnées d’instance pour une VM spécifique.
Documentation officielle :
- Ajouter des clés SSH / aperçu des accès : https://docs.cloud.google.com/compute/docs/access
- Dépannage des erreurs SSH : https://docs.cloud.google.com/compute/docs/troubleshooting/troubleshooting-ssh-errors
Si vous n’avez besoin de SSH que pour une VM spécifique, l’utilisation de métadonnées d’instance est généralement plus pratique que l’ajout de la clé au niveau du projet.
Où ouvrir le port dans GCP
Sur Google Cloud, vous n’ouvrez pas principalement le port “à l’intérieur de la VM”. Le point de contrôle principal est les règles de pare-feu VPC.
Documentation officielle :
- Aperçu des règles de pare-feu : https://docs.cloud.google.com/firewall/docs/firewalls
- Utilisation des règles de pare-feu : https://docs.cloud.google.com/firewall/docs/using-firewalls
En pratique, le déroulement ressemble à ceci :
- ouvrez le pare-feu VPC ;
- créer une règle ;
- autorisez le port UDP requis ;
- appliquez-le à la bonne VM/balises cibles/réseau.
C’est l’une des raisons les plus courantes pour lesquelles quelque chose dans GCP semble « correctement installé » mais n’accepte toujours pas les connexions externes.
Quels ports choisir ?
Il n’y a pas de « meilleur » port universel ici.
Une approche pratique ressemble à ceci :
Pour le premier déploiement
- choisissez un port UDP clair ;
- ouvrez-le au niveau du pare-feu cloud / groupe de sécurité / pare-feu NSG / VPC ;
- utilisez ce même port dans la configuration et gardez le premier déploiement simple.
Si ça ne marche pas
Vérifiez les choses dans cet ordre :
- le port est-il ouvert au niveau du fournisseur ;
- avez-vous sélectionné le bon protocole ?
- avez-vous collé la bonne clé ?
- le nom d’utilisateur est-il correct ?
- utilisez-vous l’adresse IP publique au lieu d’une adresse IP interne ?
- est-il temps de simplement changer de port.Si vous souhaitez trouver le moyen le plus rapide d’exclure un problème au niveau du réseau, l’étape la plus utile consiste souvent simplement à essayer un autre port UDP.
Erreurs courantes
Mélanger la clé publique et la clé privée
L’échec le plus courant.
La règle simple :
.pub→ va dans le panneau du fournisseur- sans
.pub→ va à Amnezia
Mauvais nom d’utilisateur
Sur DigitalOcean, il s’agit généralement de root, mais sur AWS, Azure, GCP et différentes images de VM, cela peut ne pas être vrai.
Port UDP non ouvert
Le serveur peut s’installer correctement, mais le trafic extérieur ne passera pas.
Utilisation d’une mauvaise adresse IP
Amnezia a besoin de l’IP publique, et non de l’adresse interne de la VM.
Modification des paramètres trop tôt
Si la connexion de base ne fonctionne toujours pas, ne commencez pas à tout régler tout de suite. Obtenez d’abord une connexion fonctionnelle normale.
Que faire ensuite
Une fois que vous disposez de votre premier serveur AWG2 fonctionnel, les prochains sujets logiques sont :
- Paramètres AmneziaWG2
- comparaison de AWG2 vs WireGuard vs VLESS Reality
- configuration rapide de VLESS Reality
- routage via Cloudflare WARP
- scénarios côté serveur plus avancés
Cet article est donc le point d’entrée : comment lancer rapidement une configuration AWG2 auto-hébergée et fonctionnelle, et non un cours complet sur l’administration d’un serveur VPN.
Dans la base de connaissances de NimbusVPN, les lectures suivantes les plus proches sont notre page de fonctionnalités WireGuard + XRay (VLESS) et le guide de dépannage XRay pour les réseaux restrictifs.
Si vous souhaitez la séquence de suivi la plus pratique après le déploiement, continuez avec Meilleurs paramètres VPN sur Android, puis Split Tunneling sur Android si seules certaines applications doivent utiliser le tunnel.
Bref résumé
Si vous voulez le chemin pratique le plus rapide, c’est celui-ci :
- créer un VPS ;
- obtenir un accès SSH ;
- ajoutez la clé publique côté fournisseur ;
- collez la clé privée, l’adresse IP et le nom d’utilisateur dans Amnezia ;
- choisissez Manuel → Amnezia WireGuard ;
- définir le port ;
- attendre l’installation ;
- connecter;
- vérifier l’IP.
Sur DigitalOcean, c’est le chemin le plus direct et le plus visuel. Sur AWS et Azure, le portail peut simplifier la génération de clés. Sur Google Cloud, la confusion concerne généralement le modèle SSH et les règles de pare-feu VPC.
Mais si vous gardez trois choses à l’esprit : la bonne clé, le bon nom d’utilisateur et un port UDP ouvert - le flux auto-hébergé initial devient très simple.