Configurer un VPN Amnezia multi-hop dans BeAdmin
Guide pas à pas pour construire une chaîne Amnezia à partir de deux serveurs BeAdmin : un nœud d'entrée et un nœud de sortie.
En mode multi-hop, deux installations BeAdmin distinctes forment un seul itinéraire : l'appareil se connecte au serveur le plus proche, tandis que la véritable sortie vers internet se fait sur le plus lointain. C'est la solution quand un serveur AmneziaWG isolé ne suffit plus — son IP est devenue injoignable, ou il vous faut simplement une sortie dans un pays précis. En répartissant l'entrée et la sortie sur deux réseaux, un problème à un bout n'entraîne pas l'autre.
Comment fonctionne la chaîne
D'ordinaire, un client AmneziaWG et l'internet ouvert se rencontrent en un seul endroit — votre serveur. Chaque site que vous visitez enregistre l'IP de ce serveur, et votre fournisseur d'accès voit une connexion s'y diriger. Une chaîne sépare ces deux rôles :
- Nœud d'entrée — le côté qu'observe votre fournisseur d'accès. Sur le fil, ce n'est que du trafic AmneziaWG obfusqué, difficile à distinguer d'un bruit aléatoire.
- Nœud de sortie — le côté que voit la destination. Les sites enregistrent la requête comme venant de l'IP de ce nœud, en général sur un réseau sans rapport dans un autre pays.
Cela ne vous donne pas une superposition à la Tor — c'est un seul nœud supplémentaire, juste de quoi déplacer l'IP de sortie, rien de plus.
Le rôle appartient à un utilisateur, pas à un serveur
Le multi-hop se définit utilisateur par utilisateur, il ne s'active pas pour toute l'installation. Un même serveur fait tourner à la fois des utilisateurs ordinaires, des nœuds d'entrée et des nœuds de sortie — et rien n'empêche une seule installation d'être l'entrée de certaines chaînes et la sortie d'autres.
Ce qu'il vous faut
- Deux serveurs BeAdmin, dans des localisations différentes. Une chaîne ne vaut le coup que si ses deux extrémités sont sur des réseaux séparés : une seule machine ne suffit donc pas. Installez le module Amnezia sur les deux — appelons-les installation A (entrée) et installation B (sortie).
- Gardez le nœud d'entrée près de l'utilisateur, idéalement dans le même pays. C'est ce premier tronçon que l'appareil maintient ouvert : plus il est court, plus le lien est stable. Le serveur distant devient le nœud de sortie, choisi pour l'IP que vous voulez montrer à internet.
- Il vous faut les droits d'édition sur les deux panneaux. Aucun appairage automatique — vous reliez les deux à la main, en portant un lien d'un panneau vers l'autre.
Une chaîne nécessite deux utilisateurs
Chaque chaîne coûte deux utilisateurs — le nœud de sortie sur un serveur et le nœud d'entrée sur l'autre —, chacun occupant un emplacement de licence là où il se trouve. Besoin d'une deuxième chaîne ? C'est une licence de plus sur chaque serveur.
Vous n'avez pas encore les deux serveurs ? Fornex loue des VPS sur NVMe avec accès root complet dans toute une série de pays — choisissez les localisations adaptées à votre configuration : une près de l'utilisateur, une pour la sortie. Commander un VPS.
Créer le nœud de sortie sur l'installation B
L'appairage va dans un seul sens, et c'est vous qui le pilotez à la main : le nœud de sortie émet un lien awgmh://…, que vous transportez et déposez dans le nœud d'entrée sur l'autre serveur. Construisez d'abord l'extrémité de sortie, l'entrée ensuite.
- Sur l'installation B, ouvrez le module Amnezia et appuyez sur Create user.
- Réglez Mode sur Multi-hop — un sélecteur Role in the chain apparaît ; choisissez Exit hop. Remplissez le reste et enregistrez.
- Un nœud de sortie n'a ni configuration ni QR code propres ; sa ligne dépliée le dit justement — une mention indiquant qu'il n'a aucun paramètre de connexion. C'est voulu : il ne fait que relayer le trafic entrant et ne se connecte jamais de lui-même.
- Appuyez sur Link for the entry hop. Le panneau construit un lien
awgmh://…et le copie dans le presse-papiers — il contient les détails de connexion de ce nœud. Faites-le parvenir à l'installation A par le moyen qui vous convient.
Ligne du nœud de sortie : un bouton « Link for the entry hop » à la place du QR code
Créer le nœud d'entrée sur l'installation A
- Sur l'installation A, ouvrez le module Amnezia et appuyez sur Create user.
- Réglez Mode sur Multi-hop, puis choisissez Entry hop sous Role in the chain.
- Un champ Exit hop link apparaît — collez-y le lien
awgmh://…de l'étape précédente. - Complétez les champs restants et enregistrez.
Créer un nœud d'entrée : mode Multi-hop, rôle Entry hop et le lien awgmh:// collé
Rien ne presse pour le lien
Vous pouvez coller le lien du nœud de sortie au moment de créer l'utilisateur ou l'ajouter plus tard — la boîte de dialogue Edit user du nœud d'entrée contient le même champ.
Contrairement à son homologue de sortie, le nœud d'entrée est un utilisateur ordinaire, connectable. Dépliez sa ligne et vous y trouverez deux QR codes — un sur chacun des onglets AmneziaVPN et AmneziaWG — ainsi qu'un fichier .conf à télécharger. Vous les remettez à l'appareil final exactement comme pour n'importe quel utilisateur ; à partir de là, le trafic enfile la chaîne tout seul.
Nos produits et services
Vérifier le statut de la chaîne
Dépliez le nœud d'entrée et vous verrez une tuile Multi-hop status qui indique s'il parvient réellement à joindre sa sortie. Une fois la liaison en place, une tuile Exit hop à côté affiche l'adresse de la sortie.
| Statut | Ce que cela signifie et que faire |
|---|---|
| Active | La liaison est établie et la sortie répond — la chaîne est active. |
| Checking… | Le panneau sonde encore la sortie. Laissez-lui un instant ; il se rafraîchit tout seul. |
| Exit not bound | Aucun lien n'a encore été collé. Modifiez le nœud d'entrée et ajoutez le lien awgmh://…. |
| Exit unreachable | La sortie ne répond pas. Vérifiez que le service Amnezia tourne sur l'installation B, que le serveur est en ligne et joignable sur le réseau, et que son adresse et son port n'ont pas changé. |
Convertir un utilisateur existant en nœud de sortie
Un utilisateur existant peut lui aussi endosser le rôle de sortie : ouvrez Edit user, passez Mode sur Multi-hop et le rôle sur Exit hop. Comme un nœud de sortie ne conserve pas de configuration, le panneau marque une pause pour confirmer avec un message Convert to exit hop — l'enregistrement efface les paramètres de connexion de l'utilisateur et coupe toute session en cours. Si des appareils utilisent actuellement cet utilisateur, pesez-le d'abord : une fois converti, il ne leur reste rien à réimporter.
Réassocier et dissocier le nœud de sortie
La sortie que vise une entrée donnée n'est pas figée :
- La pointer vers une autre sortie. Générez un nouveau lien
awgmh://…sur le nouveau nœud de sortie et collez-le dans le champ Exit hop link de l'entrée, dans la boîte de dialogue d'édition ; l'ancienne association cède la place à la nouvelle. Le champ s'ouvre toujours vide — le lien est un secret que le panneau ne montre pas deux fois —, c'est pourquoi l'association actuelle est indiquée dans la ligne Bound to … juste au-dessus. - Retirer complètement la sortie. Dans la ligne dépliée du nœud d'entrée, appuyez sur Unbind. L'utilisateur revient à une sortie directe vers internet par l'entrée elle-même, le second serveur étant écarté.
Changer de sortie ne touche jamais aux appareils finaux — l'entrée conserve les mêmes QR codes et le même .conf, il n'y a donc rien à réimporter.
Ce que la chaîne ne fait pas
- Elle ne fusionne pas les deux panneaux en un seul. A et B restent des installations distinctes, et chaque lien est posé à la main. Rien ne circule en sens inverse non plus — le nœud de sortie n'a aucune idée des entrées qui l'alimentent.
- Ce n'est pas l'anonymat. Tout ce qu'un visiteur voit, c'est l'IP du nœud de sortie — vous avez changé d'adresse, pas effacé votre trace.
Aide
Une question ou besoin d'un coup de main ? Écrivez-nous via le système de tickets — nous sommes toujours là pour vous aider !