AmneziaWG в Windows 10 и 11: установка и отличия

Windows — самая массовая desktop-OS в России, и при этом установка AmneziaWG на Win10 и Win11 проходит чуть-чуть по-разному. Достаточно, чтобы человек, который накатывал клиент полгода назад на Windows 10 и пересел на новый ноутбук с Windows 11, удивился: где-то лишний экран, где-то другое название пункта в настройках, а где-то Microsoft вообще отказывается запускать установщик и не объясняет почему.

Различия мелкие, но раздражающие — особенно если разбираешься на ходу, а туннель нужен «вчера». Ниже — отдельный гайд под каждую версию, с честным разбором того, где Win11 умнее Win10, а где наоборот прибавляет шагов из-за Smart App Control. Если общий обзор клиентов под обе системы уже читали в гайде по AmneziaWG для Windows и macOS, здесь пойдём глубже именно в Windows-нюансы.

Системные требования

	Windows 10	Windows 11
Минимальная версия	10 1903 (May 2019 Update)	Все версии (21H2+)
Архитектура	x64 (AMD64), ARM64	x64, ARM64
Требуется WinTUN	Да, ставит installer	Встроен в системе
Smart App Control	Нет	Может блокировать
Где смотреть туннель	Сетевые подключения (ncpa.cpl)	Settings → Network & Internet → VPN

Ключевые практические следствия из таблицы — два. Первое: на Windows 10 без обновления May 2019 Update (build 1903) WinTUN-драйвер не встанет, и AmneziaWG просто не запустится. Если дома стоит «голая» Win10 1809 или старше — сначала Windows Update, потом установщик. Второе: Smart App Control в Win11 — отдельная боль, под него ниже целая секция.

Где скачать AmneziaWG для Windows

Источник один, и он официальный — GitHub-релизы проекта:

https://github.com/amnezia-vpn/amneziawg-windows-client/releases/latest

В разделе Assets последнего релиза лежат два MSI:

• amneziawg-amd64-X.Y.Z.msi — для обычных Intel/AMD-ноутбуков и десктопов. Это почти все.
• amneziawg-arm64-X.Y.Z.msi — для машин на Snapdragon: Surface Pro X, Surface Pro 9 5G, новые Copilot+ PC.

Не качайте AmneziaWG со сторонних сайтов-агрегаторов и «зеркал». Поиск по запросу «amneziawg для windows скачать» регулярно подсовывает фейковые домены, под видом установщика которых раздают подменённые MSI с майнерами и стилерами. Открытый проект, открытые релизы, GitHub — точка.

Установка на Windows 10

Сценарий рабочий и предсказуемый, лишних сюрпризов нет.

1. Скачайте amneziawg-amd64-X.Y.Z.msi с GitHub-релизов.
2. Двойной клик по файлу. Появится окно Microsoft Defender SmartScreen: «Система Windows защитила компьютер». Нажмите Подробнее → Выполнить в любом случае. Это нормальная реакция SmartScreen на установщик, который Microsoft видит впервые: проект open-source и не покупает дорогой EV-сертификат код-подписи.
3. UAC-промпт «Разрешить этому приложению вносить изменения» — Да. Без админских прав MSI не доустановится: ему нужно зарегистрировать сетевой адаптер в системе.
4. Installer ставит WinTUN-драйвер. В диспетчере устройств появится новое сетевое устройство «Wintun Userspace Tunnel» — это нормально, удалять не нужно.
5. После установки в меню «Пуск» появится AmneziaWG. Запустите.
6. В окне клиента нажмите + Add Tunnel → Import tunnel(s) from file и выберите .conf с конфигом. Альтернативно — скопируйте текст конфига в буфер и нажмите Import from clipboard.
7. Активируйте туннель тумблером.
8. Проверка: откройте whoer.net — IP должен показать европейскую страну.

Если статус туннеля хочется увидеть не в самом приложении, а в системе — нажмите Win+R, введите ncpa.cpl, найдите адаптер с пометкой Wintun. Это «старый» интерфейс сетевых подключений, и в Win10 он остаётся основным способом увидеть параметры адаптера и сбросить его, если залип.

Установка на Windows 11

Шаги те же, но добавляются два момента: Smart App Control и переехавшие настройки VPN.

1. Скачайте MSI с GitHub (тот же amd64, если у вас не ARM-машина).
2. Двойной клик. SmartScreen-предупреждение здесь жёстче: если у вас включён Smart App Control, Windows 11 может вообще не дать запустить установщик — без кнопки «Выполнить в любом случае». В таком случае идём в фикс ниже, потом возвращаемся к шагу 3.
3. UAC → Да.
4. Установка проходит. WinTUN на Win11 встроен в систему: отдельно ничего не ставится, новое устройство в диспетчере не появляется.
5. Запустите AmneziaWG из меню «Пуск», импортируйте конфиг, активируйте.
6. Статус туннеля можно посмотреть в новом разделе: Settings → Network & Internet → VPN — AmneziaWG появится в списке как обычное VPN-подключение. Старый ncpa.cpl тоже работает, но Microsoft постепенно от него уводит.

Фикс Smart App Control

Settings → Privacy & Security → Windows Security → App & Browser Control → Smart App Control settings → выбрать Off. После выключения SAC обратно не включается без полной переустановки Windows — это не ошибка, это by design. Если радикально выключать не хочется, второй вариант — поставить AmneziaWG под Administrator-аккаунтом, SAC к таким установкам мягче. Подробнее про SAC — отдельная секция ниже.

Что делать, если установка падает

Несколько типовых ошибок и быстрых фиксов:

• «MSI installation failed» или установщик молча закрывается — обычно не хватило прав. Правый клик по .msi → Запуск от имени администратора.

• «WinTUN driver failed to install» — на Win10 это почти всегда старая сборка системы. Settings → Update & Security → Windows Update, обновитесь до 1903 или новее, перезагрузка, повторите установку.

• «Connection refused» или туннель не активируется — брандмауэр не пропускает UDP-порт клиента. Откройте «Брандмауэр Защитника Windows» → «Разрешить взаимодействие с приложением» → найдите AmneziaWG в списке и убедитесь, что галочки стоят и для Private, и для Public сетей.

• «Tunnel started but no internet» — туннель поднялся, но сайты не открываются. Чаще всего виноват кэш DNS-резолвера. Откройте командную строку (cmd) от Администратора и выполните:

  ipconfig /flushdns

  После этого либо переактивируйте туннель, либо подождите пару секунд — резолвер подхватит новые DNS из конфига.

Если Smart App Control блокирует MSI и возиться не хочется — Molystrix даёт стабильный конфиг, который работает на трёх устройствах одной подпиской. Если Windows-установка тормозит — можно поставить туннель на телефон или Mac, а компьютеру раздать через Wi-Fi. Один платёж, три устройства. → Посмотреть тарифы

Smart App Control в Windows 11 — что это и как обойти

Smart App Control появился в Windows 11 22H2 и включается по умолчанию на свежеустановленных системах. Это ML-модель Microsoft, которая оценивает каждый запускаемый бинарник по «репутации»: подписан ли кодом, сколько раз система видела его у других пользователей, есть ли по нему отчёты от Defender. Если репутация сомнительная — SAC блокирует запуск без объяснений и без возможности нажать «всё равно запустить».

Почему AmneziaWG MSI попадает под удар: код-подписи Microsoft (EV Code Signing Certificate) стоят порядка $700 в год и требуют юрлица. Большая часть открытых проектов на эту строку расходов не готова — и AmneziaWG не исключение. Бинарник честно собран из открытого кода, но «репутации» в глазах SAC у него ноль.

Варианты:

1. Полностью выключить Smart App Control. Settings → Privacy & Security → Windows Security → App & Browser Control → Smart App Control → Off. Минус: обратно включить SAC можно только полной переустановкой Windows. Microsoft это документирует открыто. Решение радикальное, но рабочее, особенно если у вас десяток таких open-source утилит, которые SAC регулярно ловит.
2. Режим Evaluation. Если SAC у вас в режиме оценки (это видно в том же экране настроек), он не блокирует запуски, а только собирает данные. В этом режиме можно просто запустить MSI — система примет его как часть пользовательской истории.
3. Альтернативный клиент — AmneziaVPN-комбайн. Полная сборка AmneziaVPN (мульти-протокольная, не путать со standalone AmneziaWG) имеет подписанный installer и под SAC-блок не попадает. Минус: в ней много функций, которые нам не нужны, и интерфейс под обычного пользователя VPN, а не под человека с готовым AmneziaWG-конфигом. Импортировать .conf туда тоже можно, но дорогой.

На практике большинство пользователей идут по варианту 1 — выключают SAC. Защиту от malware при этом продолжают делать обычный Defender, SmartScreen и здравый смысл при скачивании файлов. Уровень защиты на ровне «Windows 10 в 2024-м», что как-то жил весь мир.

Особенности Windows 11 ARM (Surface Pro X, Copilot+ PC)

Если у вас машина на Snapdragon — берите amneziawg-arm64-X.Y.Z.msi. ARM64-сборка нативная, через эмуляцию x86 ничего не ходит, и производительность туннеля совпадает с x64-машинами того же класса. Microsoft с Windows 11 21H2 серьёзно подтянул ARM-экосистему, и AmneziaWG здесь работает без бубна.

Single caveat: x86-приложения, запущенные через Windows ARM-эмуляцию, ходят через тот же туннель, что и нативные. Туннель работает на уровне сетевого стека ОС, и пользовательскому процессу всё равно, эмулирован он или нативен. То есть условный x86-Telegram под ARM-Win11 получит тот же IP, что и нативный браузер.

Полезные настройки

Несколько опций, про которые часто спрашивают:

• Kill switch. В свойствах туннеля → Block untunneled traffic (kill-switch). Если туннель отключился — система блокирует весь остальной трафик до его восстановления. Полезно, если совсем не хочется случайно отправить запрос мимо туннеля.
• On-demand activation. В свойствах туннеля → Activate on demand → выбрать список Wi-Fi сетей, при подключении к которым туннель поднимется автоматически. Удобно, если хочется, чтобы дома туннель был всегда, а в кафе — по желанию.
• Split tunneling. В Windows-клиенте AmneziaWG поддержка ограниченная: можно играться с AllowedIPs, но per-application routing (как в AmneziaVPN-комбайне) недоступен. Если split tunneling критичен — либо ручные правила в AllowedIPs, либо альтернативный клиент.

Часто задаваемые вопросы

Можно ли установить AmneziaWG на Windows 7 или 8?

Нет. Установщик требует минимум Windows 10 1903, потому что нужен WinTUN-драйвер с поддержкой современного API. На Windows 7 / 8 / 8.1 доступного клиента нет. Альтернатива — обновиться до Windows 10 последней сборки или поставить туннель на телефон.

Что делать, если SmartScreen полностью блокирует установщик?

На Win10 у SmartScreen всегда есть кнопка «Выполнить в любом случае» после нажатия «Подробнее». На Win11 — только если выключен Smart App Control (см. секцию выше). Если кнопки «Выполнить в любом случае» нет — это SAC, не SmartScreen, и фикс там другой.

Будет ли AmneziaWG работать без отключения Smart App Control?

Зависит от текущего режима SAC. В режиме «Evaluation» — да, в режиме «On» — обычно нет. Microsoft не публикует точных правил, по которым SAC решает, что разрешить, а что заблокировать. На практике unsigned MSI с маленькой статистикой запусков почти всегда блокируется.

Как удалить AmneziaWG чисто, вместе с WinTUN-драйвером?

Settings → Apps → Installed apps → AmneziaWG → Uninstall. Деинсталлятор сам убирает основное приложение и WinTUN-драйвер на Win10. На Win11 WinTUN — часть системы, его деинсталлировать не нужно. После удаления имеет смысл перезагрузиться: некоторые сетевые состояния зачищаются только после рестарта.

Сломает ли установка существующее VPN-подключение?

Нет. AmneziaWG регистрирует свой собственный сетевой адаптер и не трогает встроенные Windows-VPN-профили (PPTP, L2TP, IKEv2, SSTP, WireGuard через нативный клиент). Они продолжат работать.

Что с Windows Defender — он не помечает AmneziaWG как угрозу?

Свежие сборки AmneziaWG-клиента Defender пропускает: Microsoft индексирует их через GitHub Releases. Но если запустили совсем свежий релиз в первый день — Defender может на минуту-две притормозить с проверкой. Это нормально, не нужно ничего отключать.

Поддерживает ли AmneziaWG автозапуск при старте Windows?

Сам клиент при старте Windows запускается автоматически — служба зарегистрирована при установке. А вот активирует туннель он только после явного подключения или по правилу Activate on demand. Если хочется, чтобы конкретный туннель поднимался сразу при логине — задайте правилом on-demand на «Always».

Как обновлять — авто-апдейт или ручная переустановка MSI?

Авто-апдейта в AmneziaWG-Windows-клиенте нет. Когда выходит новая версия (это происходит несколько раз в год), скачивайте свежий MSI с GitHub и запускайте — он встанет поверх старой версии без потери конфигов. Конфиги хранятся отдельно от приложения.

Что делать, если после Windows Update туннель перестал работать?

Чаще всего виноват сброшенный сетевой стек. Сначала перезагрузите машину (часто помогает само по себе). Если не помогло — переустановите AmneziaWG поверх (MSI это умеет). В последнем случае — netsh winsock reset и netsh int ip reset от Администратора, потом перезагрузка.

Можно ли запускать AmneziaWG от обычного юзера или только от Admin? Установка требует Admin. После установки сам клиент запускается из-под обычного юзера, но при попытке создать или активировать туннель Windows запросит UAC-подтверждение — потому что меняются параметры сетевого адаптера системного уровня. Если вы хотите, чтобы пользователь без админа мог менять туннели без UAC, есть сторонние обвязки, но они выходят за рамки этого гайда и обычно не нужны.

Подключите Molystrix

Если хочется не разбираться с MSI и режимами Smart App Control с нуля, а получить готовый рабочий конфиг и поднять туннель за пять минут — Molystrix решает эту часть. 249₽/мес, три устройства на одной подписке, конфиг QR-кодом и .conf-файлом на email.

Один платёж — и туннель работает на ноутбуке с Windows, на старом домашнем компьютере на Windows 10 и на телефоне. Посмотреть тарифы.

Если Windows-вариант не зашёл и хочется попробовать другой клиент — обзорный гайд по AmneziaWG для Windows и macOS покрывает альтернативные сценарии. Если интересен классический WireGuard вместо AmneziaWG — настройка WireGuard на Windows и macOS. А если читаете эту статью в поисках «бесплатного» варианта — честный разбор того, что предлагает рынок, в гайде по доступу к Discord и YouTube в 2026.