Cara cepat sediakan pelayan AmneziaWG2 anda sendiri pada VPS

Jika anda mahu cara paling cepat untuk memiliki pelayan VPN sendiri tanpa perlu bersusah payah melakukan pemasangan manual melalui konsol, aliran self-hosted dalam Amnezia ialah salah satu pilihan yang paling mudah. Anda cipta VPS, beri akses SSH kepada aplikasi, pilih protokol, dan klien akan menyambung ke pelayan lalu memasang semua yang diperlukan secara automatik.

Dalam panduan ini, senario utama ditunjukkan menggunakan DigitalOcean, kerana di situ prosesnya paling terus dan mudah diikuti. Di bawah, saya juga pecahkan apa yang perlu dibuat jika anda menggunakan AWS, Azure atau Google Cloud Platform — terutamanya berkaitan kunci SSH dan membuka port yang betul.

Satu penjelasan penting dari awal: dalam antara muka Amnezia, pada sesetengah langkah anda mungkin hanya nampak Amnezia WireGuard tanpa penekanan pada versinya. Tetapi dalam aliran self-hosted semasa pada versi klien yang disokong, apa yang akhirnya anda pasang ialah AmneziaWG 2.0.

Laluan pantas

Jika anda tidak perlukan semua butiran, keseluruhan alirannya adalah seperti berikut:

1. cipta VPS;
2. sediakan kunci SSH;
3. tambah public key pada penyedia hosting;
4. salin private key, IP dan username;
5. pasang Amnezia;
6. pilih Self-hosted VPN;
7. tampal IP, username dan private key;
8. pilih Manual → Amnezia WireGuard;
9. tetapkan port;
10. tunggu pemasangan selesai;
11. sambung dan semak sama ada IP telah berubah.

Di bawah ialah versi langkah demi langkah yang lengkap.

Apa yang anda perlukan

• VPS dengan IP awam
• akses SSH ke pelayan
• kunci SSH
• aplikasi Amnezia yang telah dipasang
• 3–5 minit

Public key dan private key: jangan tertukar

Ini ialah punca ralat yang paling kerap berlaku.

Apabila anda menjana kunci SSH, anda akan mendapat sepasang fail:

• private key — kunci peribadi yang hanya disimpan oleh anda;
• public key — kunci yang anda tambahkan ke panel penyedia.

Dalam keadaan biasa:

• fail dengan sambungan .pub ialah public key;
• fail tanpa .pub ialah private key.

Dalam praktiknya, ini bermaksud:

• di DigitalOcean dan selalunya di Google Cloud, anda memuat naik public key;
• dalam Amnezia, anda menampal private key;
• di AWS dan Azure, portal boleh menjana kunci untuk anda, jadi alirannya sedikit berbeza — dijelaskan di bawah.

DigitalOcean: senario paling mudah

Untuk panduan seperti ini, DigitalOcean memang salah satu pilihan paling mudah.

Langkah 1. Cipta kunci SSH

Jika anda sudah ada kunci SSH berasingan untuk pelayan ini, bagus — gunakan sahaja. Jika belum, cipta yang baharu.

Arahan asas:

ssh-keygen

Selepas itu, sistem akan menunjukkan lokasi kunci disimpan. Seterusnya, yang anda perlukan ialah public key, iaitu fail dengan .pub.

Untuk memaparkannya dalam terminal dan menyalinnya:

cat ~/.ssh/NAMA_KUNCI.pub

Jika anda menggunakan nama lalai, laluannya biasanya akan kelihatan seperti ini:

cat ~/.ssh/id_ed25519.pub

Langkah 2. Tambah public key ke DigitalOcean

Dalam DigitalOcean, public key dimuat naik ke akaun anda dan kemudian dilampirkan kepada droplet baharu semasa penciptaan.

Laluan rasmi: DigitalOcean Control Panel → Settings → Security → Add SSH Key

Arahan rasmi:

• Add SSH keys to a team: https://docs.digitalocean.com/platform/teams/how-to/upload-ssh-keys/
• Create a Droplet: https://docs.digitalocean.com/products/droplets/how-to/create/
• Add SSH keys to new or existing Droplets: https://docs.digitalocean.com/products/droplets/how-to/add-ssh-keys/

Anda juga tidak perlu keluar dari halaman penciptaan droplet: di situ ada butang New SSH Key yang melakukan perkara yang sama.

Langkah 3. Cipta droplet

Untuk pemasangan pertama, ini sudah mencukupi:

• Ubuntu
• mana-mana pelan asas
• pengesahan SSH key
• public key yang anda cipta

Selepas droplet siap, anda akan memerlukan:

• IP awam
• username
• private key anda

Di DigitalOcean, username lalai untuk droplet Ubuntu biasa selalunya ialah root.

Pasang Amnezia

Semasa VPS sedang dicipta, anda boleh terus memuat turun klien.

Halaman muat turun: https://amnezia.org/

Amnezia tersedia untuk:

• Windows
• macOS
• Linux
• Android
• iOS

Pasang aplikasi, buka, dan tekan Let’s get started.

Menyediakan AmneziaWG2 self-hosted

Langkah 1. Pilih Self-hosted VPN

Di dalam aplikasi, pilih:

Self-hosted VPN

Selepas itu anda akan memerlukan tiga perkara:

• IP pelayan
• username
• private SSH key

Langkah 2. Tampal private key

Di sini anda memerlukan private key, bukan fail .pub.

Contohnya, jika public key anda ialah:

~/.ssh/id_ed25519.pub

maka private key biasanya ialah:

~/.ssh/id_ed25519

Untuk memaparkannya:

cat ~/.ssh/id_ed25519

Salin keseluruhan kandungan dan tampalkannya ke dalam Amnezia.

Langkah 3. Masukkan username

Di DigitalOcean, ini biasanya:

root

Pada penyedia lain, username mungkin berbeza, jadi jangan automatik isi root di semua tempat.

Langkah 4. Masukkan IP

Salin IP awam VPS daripada panel penyedia dan tampalkannya ke dalam Amnezia.

Langkah 5. Pilih Manual → Amnezia WireGuard

Seterusnya, aplikasi akan bertanya jenis pemasangan. Pilih:

• Manual
• kemudian Amnezia WireGuard

Di sinilah ramai orang keliru dengan namanya: antara muka mungkin tidak menonjolkan “version 2”, tetapi dalam aliran self-hosted semasa ini ialah AWG 2.0, selagi klien anda menyokong versi baharu.

Arahan rasmi AmneziaWG 2.0 untuk self-hosted: https://docs.amnezia.org/ru/documentation/instructions/new-amneziawg-selfhosted/

Langkah 6. Tetapkan port

Dalam video, port 8080 digunakan, dan untuk setup praktikal pertama itu ialah pilihan yang munasabah.

Perkara penting untuk difahami:

• ini ialah port pelayan VPN, bukan port SSH;
• jika protokol tidak berjaya dihidupkan, selalunya masalahnya bukan pada protokol itu sendiri tetapi kerana port belum dibuka;
• jika satu port tertentu tidak berfungsi, biasanya lebih cepat cuba port lain dahulu daripada terus menyiasat punca rangkaian yang lebih rumit.

Troubleshooting rasmi untuk self-hosted AmneziaWG: https://docs.amnezia.org/troubleshooting/self-hosted-amneziawg-not-working/

Di situ mereka secara jelas mencadangkan mencuba port lain di bawah 9999, contohnya 585 atau 1234, jika anda menghadapi masalah.

Langkah 7. Tunggu pemasangan automatik selesai

Selepas itu, Amnezia akan:

• menyambung ke pelayan melalui SSH;
• memasang semua yang diperlukan;
• menyediakan konfigurasi;
• menambah sambungan ke dalam aplikasi.

Itulah kelebihan utama aliran self-hosted: anda tidak perlu memasang semuanya secara manual melalui konsol.

Langkah 8. Sambung dan semak IP

Apabila pemasangan selesai, anda akan nampak butang Connect.

Kemudian:

1. tekan Connect;
2. tunggu sehingga terowong aktif;
3. buka mana-mana perkhidmatan semakan IP;
4. muat semula halaman dan pastikan IP kini sepadan dengan VPS anda.

Jika IP telah berubah kepada IP pelayan anda, setup asas sudah siap.

Bagaimana jika anda tidak menggunakan DigitalOcean?

Di bawah ini ialah ringkasan praktikal untuk penyedia popular yang lain.

AWS: kunci SSH dan port

Di AWS EC2, alirannya berbeza daripada DigitalOcean.

Kunci SSH di AWS

Di AWS, anda tidak semestinya perlu menjana kunci SSH secara tempatan lebih awal. Semasa mencipta instance EC2, anda boleh:

• memilih key pair yang sedia ada;
• atau mencipta key pair baharu terus dalam konsol.

Apabila anda mencipta key pair baharu, AWS membenarkan anda memuat turun private key (contohnya fail .pem) sekali sahaja. Public key akan dipautkan kepada instance secara automatik.

Dokumentasi rasmi:

• EC2 key pairs: https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html

Jadi di AWS, laluan paling mudah ialah:

1. cipta key pair semasa proses pelancaran EC2;
2. muat turun private key;
3. gunakan private key itu dalam Amnezia.

Di mana hendak membuka port di AWS

Di AWS, anda memerlukan Security Group dengan inbound rule untuk port UDP yang diperlukan.

Laluan: EC2 → Instance → Security Group yang dilampirkan → Edit inbound rules

Dokumentasi rasmi:

• Change security groups: https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/changing-security-group.html
• Security group rules reference: https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html

Jika inbound UDP rule tidak ditambah, pelayan mungkin berjaya dipasang tetapi sambungan dari luar tidak akan berfungsi.

Azure: kunci SSH dan port

Di Azure, alirannya juga agak mudah.

Kunci SSH di Azure

Azure boleh menjana dan menyimpan kunci SSH terus dalam portal. Ini berguna jika anda tidak mahu mencipta kunci secara manual pada mesin tempatan terlebih dahulu.

Dokumentasi rasmi:

• Generate and store SSH keys in Azure portal: https://learn.microsoft.com/en-us/azure/virtual-machines/ssh-keys-portal
• Connect to a Linux VM: https://learn.microsoft.com/en-us/azure/virtual-machines/linux-vm-connect

Jadi di Azure, anda mempunyai dua pilihan:

1. gunakan public key sedia ada;
2. biarkan Azure menjana kunci semasa mencipta VM.

Dalam kedua-dua kes, perkara yang akhirnya diperlukan oleh Amnezia ialah private key.

Di mana hendak membuka port di Azure

Di Azure, pembukaan port biasanya dibuat melalui:

• Networking
• dan/atau Network Security Group (NSG)

Dokumentasi rasmi:

• Network security groups overview/tutorial: https://learn.microsoft.com/en-us/azure/virtual-network/tutorial-filter-network-traffic
• NSG management: https://learn.microsoft.com/en-us/azure/virtual-network/manage-network-security-group

Dalam praktiknya, anda perlukan inbound rule untuk port UDP anda.

Google Cloud Platform: tempat yang paling kerap menimbulkan kekeliruan

Di sinilah biasanya muncul bahagian yang paling tidak jelas.

Kunci SSH di GCP

Google Cloud mempunyai dua model akses SSH yang berbeza:

1. OS Login
2. metadata-based SSH keys

Inilah sebab utama mengapa GCP sering terasa seperti “kunci SSH tersorok di suatu tempat”.

Jika OS Login tidak digunakan, public SSH key boleh ditambah:

• sama ada pada project metadata,
• atau pada instance metadata untuk VM tertentu.

Dokumentasi rasmi:

• Add SSH keys / access overview: https://docs.cloud.google.com/compute/docs/access
• Troubleshooting SSH errors: https://docs.cloud.google.com/compute/docs/troubleshooting/troubleshooting-ssh-errors

Jika anda hanya perlukan SSH untuk satu VM tertentu, biasanya lebih mudah menggunakan instance metadata berbanding menambah kunci pada peringkat projek.

Di mana hendak membuka port di GCP

Dalam Google Cloud, anda tidak membuka port terutamanya “di dalam VM”. Titik kawalan utama ialah VPC firewall rules.

Dokumentasi rasmi:

• Firewall rules overview: https://docs.cloud.google.com/firewall/docs/firewalls
• Using firewall rules: https://docs.cloud.google.com/firewall/docs/using-firewalls

Dalam praktiknya, alirannya adalah seperti berikut:

1. buka VPC firewall;
2. cipta satu rule;
3. benarkan port UDP yang diperlukan;
4. terapkan rule itu pada VM / target tags / rangkaian yang betul.

Ini ialah salah satu punca paling biasa mengapa setup di GCP kelihatan “sudah dipasang dengan betul”, tetapi masih tidak menerima sambungan dari luar.

Port apa yang patut dipilih?

Tiada satu port “terbaik” yang universal di sini.

Pendekatan praktikal adalah seperti berikut:

Untuk pemasangan pertama

• pilih satu port UDP yang jelas;
• buka port itu pada peringkat cloud firewall / security group / NSG / VPC firewall;
• gunakan port yang sama dalam setup dan jangan rumitkan deployment pertama.

Jika tidak berfungsi

Semak mengikut urutan ini:

1. adakah port dibuka pada peringkat penyedia;
2. adakah anda memilih protokol yang betul;
3. adakah anda menampal kunci yang betul;
4. adakah username betul;
5. adakah anda menggunakan IP awam dan bukannya IP dalaman;
6. adakah lebih mudah jika terus tukar port.

Jika anda mahu menolak kemungkinan masalah rangkaian dengan cepat, langkah yang paling berguna biasanya ialah cuba port UDP yang lain.

Ralat yang biasa berlaku

Public key dan private key tertukar

Ini ialah kegagalan yang paling kerap berlaku.

Peraturan mudah:

• .pub → masuk ke panel penyedia
• tanpa .pub → masuk ke Amnezia

Username salah

Di DigitalOcean biasanya root, tetapi di AWS, Azure, GCP dan imej VM yang berbeza, keadaannya boleh berubah.

Port UDP belum dibuka

Pelayan mungkin berjaya dipasang dengan betul, tetapi trafik dari luar tidak akan dapat masuk.

Menggunakan IP yang salah

Amnezia memerlukan IP awam, bukannya alamat dalaman VM.

Terlalu awal mengubah banyak tetapan

Jika sambungan asas masih belum berfungsi, jangan terus cuba melaras semuanya sekaligus. Pastikan sambungan biasa boleh berfungsi dahulu.

Apa yang patut dibuat seterusnya?

Selepas pelayan AWG2 pertama anda berjaya berjalan, topik seterusnya yang logik ialah:

1. tetapan AmneziaWG2
2. perbandingan AWG2 vs WireGuard vs VLESS Reality
3. pemasangan cepat VLESS Reality
4. penghalaan melalui Cloudflare WARP
5. senario server-side yang lebih maju

Maksudnya, artikel ini ialah titik permulaan: cara cepat melancarkan setup AWG2 self-hosted yang berfungsi, bukannya kursus penuh tentang pentadbiran pelayan VPN.

Ringkasan ringkas

Jika anda mahukan laluan paling cepat dalam praktik, inilah susunannya:

• cipta VPS;
• dapatkan akses SSH;
• tambah public key pada pihak penyedia;
• tampal private key, IP dan username ke dalam Amnezia;
• pilih Manual → Amnezia WireGuard;
• tetapkan port;
• tunggu pemasangan;
• sambung;
• semak IP.

Di DigitalOcean, ini ialah laluan yang paling terus dan paling mudah difahami. Di AWS dan Azure, portal boleh memudahkan proses penjanaan kunci. Di Google Cloud, kekeliruan biasanya tertumpu pada model SSH dan peraturan VPC firewall.

Tetapi jika anda ingat tiga perkara — kunci yang betul, username yang betul dan port UDP yang terbuka — aliran self-hosted permulaan ini menjadi sangat mudah.