تمثال الدب القطبي NordBastion في ورشة حجرية Nordic مع نفق مشفَّر فيروزي متوهج يتقوَّس بين حاسوب محمول مُصمَّم وبرج سيرفر، وحروف مفتاح وقفل تدور حول النفق

كيفية · الاستضافة الذاتية·11 دقيقة قراءة · 15 دقيقة تطبيق

استضِف WireGuard VPN ذاتياً على VPS.
خمس عشرة دقيقة إلى VPN شخصي خاص بك.

Five steps from "no server" to "my own personal VPN" — KYC-free at signup, crypto-paid, no third-party VPN provider in the trust chain. Tested on Debian 12 with WireGuard 1.0+ in mainline kernel.

الخطوات الخمس

01
التوفير
VPS Nordic
02
تثبيت
apt install wireguard
03
إعداد
المفاتيح + wg0.conf
04
جدار الحماية
UDP 51820 + إعادة التوجيه
05
اتصل
wg-quick up wg0

الخطوة 01 · التزويد

اختر حصنًا نورديًا قريبًا من موقعك.

في اللوحة: طلب → VPS → Sentinel ($5.90 شهريًا، 2 vCPU / 4 GB / 120 GB NVMe). يتمتع Sentinel بنطاق ترددي غير محدود وارتباط صاعد 1 Gbps — كافٍ تمامًا لـ VPN شخصي حتى عند البث الكامل. اختر الحصن الأقرب إلى موقعك الفعلي، لأن كل بايت ترسله يمر عبر VPS قبل أن يصل وجهته. يختار العميل الأوروبي Stockholm أو Helsinki؛ ويختار عميل الأمريكتين/آسيا Reykjavík (أقل زمن استجابة عبر المحيط الأطلسي) أو Oslo.

صورة نظام التشغيل: Debian 12 هو التوصية. يعمل Ubuntu 22.04+ بشكل متطابق. يعمل Alpine لكن يستخدم أسماء حزم مختلفة (apk add wireguard-tools). يعمل FreeBSD أيضًا لكن بناء جملة التهيئة يتباين. يُقلع الخادم في نحو 90 ثانية؛ وبيانات اعتماد root تُعرض مرة واحدة في اللوحة.

الخطوة 02 · التثبيت

حزمة واحدة، موجودة بالفعل في النواة.

سجِّل دخولاً عبر SSH بصفة الجذر. ثم:

apt update
apt install -y wireguard qrencode

هذا كل شيء. WireGuard موجود في نواة Linux الرئيسية منذ 5.6 (مارس 2020)، لذا يُثبِّت apt فقط أدوات فضاء المستخدم (wg، wg-quick) — لا تجميع وحدة، لا DKMS، لا إعادة بناء النواة. ستكون حزمة qrencode مفيدة في الخطوة 5 لدفع إعداد العميل إلى الهاتف كـ QR.

فعّل إعادة توجيه IP الآن لئلا ننسى في الخطوة 4:

echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
echo "net.ipv6.conf.all.forwarding=1" >> /etc/sysctl.conf
sysctl -p

الخطوة 03 · الإعداد

أنشئ المفاتيح، اكتب wg0.conf. دقيقتان.

أنشئ زوج مفاتيح الخادم:

cd /etc/wireguard
umask 077
wg genkey | tee server_private.key | wg pubkey > server_public.key

الآن أنشئ زوج مفاتيح عميل واحد لكل جهاز:

wg genkey | tee laptop_private.key | wg pubkey > laptop_public.key
wg genkey | tee phone_private.key  | wg pubkey > phone_public.key

أنشئ /etc/wireguard/wg0.conf بإعدادات الخادم + كتلة [Peer] واحدة لكل عميل:

[Interface]
PrivateKey = <contents of server_private.key>
Address    = 10.66.66.1/24, fd00:66::1/64
ListenPort = 51820
PostUp     = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown   = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
# laptop
PublicKey  = <contents of laptop_public.key>
AllowedIPs = 10.66.66.2/32

[Peer]
# phone
PublicKey  = <contents of phone_public.key>
AllowedIPs = 10.66.66.3/32

الخطوة 04 · جدار الحماية

افتح UDP 51820. أغلق الباقي.

إن كنت تستخدم UFW (الافتراضي على Ubuntu):

ufw default deny incoming
ufw default allow outgoing
ufw allow 22/tcp        # SSH (consider port-knocking or VPN-only in production)
ufw allow 51820/udp     # WireGuard
ufw enable

تمتلك حصون NordBastion أيضًا جدار حماية أعلى مُدار من اللوحة — يمكنك تكرار نفس القواعد هناك للدفاع المتعمق. جدار الحماية على مستوى الحصن يحجب قبل أن تصل الحزمة إلى VPS، مما يوفر CPU على الفحص الحجمي.

نصيحة خصوصية تستحق الاتباع: غيّر WireGuard ListenPort من 51820 (الافتراضي الذي تبحث عنه الماسحات) إلى منفذ عشوائي بين 1024 و65535. هذا لا يحسّن الأمان في مواجهة خصم عازم لكنه يُقلص الضجيج القادم من الماسحات العشوائية.

الخطوة 05 · الاتصال

أنشئ النفق. أول عميل متصل في ثوانٍ.

على الخادم:

systemctl enable --now wg-quick@wg0
wg                          # status: should show interface up

أنشئ ملف تهيئة العميل (laptop.conf) على الخادم، ثم انسخه إلى الحاسوب المحمول:

[Interface]
PrivateKey = <contents of laptop_private.key>
Address    = 10.66.66.2/24, fd00:66::2/64
DNS        = 1.1.1.1, 9.9.9.9       # or your favourite privacy resolver

[Peer]
PublicKey         = <contents of server_public.key>
Endpoint          = <server-ip>:51820
AllowedIPs        = 0.0.0.0/0, ::/0
PersistentKeepalive = 25

للجوّال، مرّر التهيئة عبر qrencode وامسحها بتطبيق WireGuard:

qrencode -t ansiutf8 < phone.conf

هذا كل شيء. العميل يتصل، النفق يعمل، والحاسوب المحمول / الهاتف يصل الآن إلى الإنترنت عبر الحصن Nordic. تحقق بـ: curl https://api.ipify.org — IP المُعاد هو IP العام لـ VPS، ليس IP منزلك.

الأسئلة الشائعة · WireGuard

أسئلة، أجوبة.

ثماني أسئلة يطرحها عميل VPN ذاتي الاستضافة لأول مرة.

لماذا استضافة WireGuard VPN ذاتياً بدلاً من استخدام NordVPN / Mullvad / ProtonVPN؟

ثلاثة أسباب حقيقية. (1) سلسلة الثقة تتقلص. VPN التجاري هو "ثق بهذه الشركة ألا تُسجِّل بياناتك"؛ الذاتي الاستضافة هو "ثق بمزوِّد VPS هذا ألا يُسجِّل بياناتك" — طرف واحد أقل. (2) نقطة نهاية VPN لك وحدك. IPs الخروج التجارية لـ VPN مُشتركة عبر آلاف المستخدمين ومحجوبة من كثير من الخدمات؛ نقطة نهايتك الذاتية الاستضافة هي IP نظيف جديد لم يُعلِّم أحد عليه. (3) التكلفة. NordBastion Sentinel بـ 5.90$/شهرياً ويُشغِّل VPN بعرض نطاق ترددي غير محدود؛ VPNs التجارية بـ 5-15$/شهرياً لبنية تحتية مشتركة.

لماذا WireGuard بدلاً من OpenVPN؟

WireGuard أصغر (4,000 سطر من كود النواة مقابل ~100,000 لـ OpenVPN)، وأسرع (غالباً 3-5 أضعاف الإنتاجية على نفس العتاد)، وأبسط في الإعداد (ملف إعداد واحد بدلاً من سباكة CA/cert/dhparam)، وصديق للتدقيق. وهو في نواة Linux الرئيسية منذ 5.6 (2020) لذا لا خطوة تجميع. OpenVPN لا يزال مفيداً لتوافق الإرث وحركة المرور القائمة على TCP؛ لكل شيء آخر WireGuard هو الخيار الحديث الافتراضي.

هل يعلم مزود خدمة الإنترنت الخاص بي بأنني أشغّل VPN؟

مزوِّد خدمة الإنترنت يرى حركة مرور UDP مشفَّرة على المنفذ 51820 تتجه إلى IP لـ NordBastion. هذا النمط قابل للتعرف عليه كحركة مرور VPN؛ ما هو على الجانب الآخر ليس كذلك. إذا كان "تشغيل VPN على الإطلاق" حساساً في سياقك، شغِّل WireGuard على المنفذ 443 (يتحدث UDP لا TCP، لكن المنفذ نفسه كـ HTTPS)، وفكِّر في غلاف تعتيم كـ udp2raw إذا كان مزوِّد الخدمة يحجب بشكل نشط مصافحات WireGuard.

هل يمكنني استخدام VPS كـ VPN وخادمًا لأمور أخرى في آنٍ معًا؟

نعم، نمط شائع. يُشغِّل VPS وWireGuard بالإضافة إلى أي شيء آخر تحتاجه — موقع شخصي، عقدة Bitcoin، مثيل Mastodon. قواعد جدار الحماية تُبقي حركة مرور VPN والخدمات التي تواجه العموم معزولةً؛ يستطيع iptables/nft توجيه عملاء VPN إلى خدمات محلية محددة دون غيرها.

ماذا عن تحديد موقع IP الجغرافي — هل ستعتقد المواقع أنني في السويد؟

نعم — IP الخروج الخاص بك هو حصن NordBastion الذي اخترته. ستعاملك خدمات البث التي تُطبِّق السياج الجغرافي بـ IP كسويدي (حصن Stockholm) أو فنلندي (Helsinki) أو نرويجي (Oslo) أو آيسلندي (Reykjavík). مواقع البنوك التي تُعلِّم "تسجيل دخول من بلد جديد" ستُطلق قواعد الاحتيال؛ هذا هو السلوك الطبيعي، وليس مشكلة VPN.

كم عميلًا يستطيع خادم WireGuard الواحد التعامل معه؟

لا محدودة عمليًا للاستخدام الشخصي. كل نظير يُضيف بضعة KB من الذاكرة. القيد هو النطاق الترددي وارتباط الحصن الصاعد، لا مشغّل WireGuard نفسه. ستنتهي طاقة فئة Sentinel ذات النطاق الترددي غير المحدود والارتباط الصاعد 1 Gbps قبل أن يلاحظ مشغّل WireGuard.

هل أُشغِّل هذا على VPS مخصص أم أشاركه مع أعباء عمل أخرى؟

VPS مخصص أنظف من منظور OPSEC — الشيء الوحيد المرتبط بالـIP هو «VPN الشخصي الخاص بي». إن دمجت أحمال العمل، يتشارك حركة مرور VPN وحركة مرور حمل العمل الآخر في IP صادر واحد، وأي مشكلة في سمعة أحدهما تنعكس على الآخر. بـ5.90 دولار شهرياً من المعقول الإبقاء عليهما منفصلين.

هل WireGuard ذاتي الاستضافة قادر على مفتاح القطع؟

نعم، من جانب العميل. تدعم إعدادات WireGuard كتلة PostUp / PostDown حيث تُضيف قواعد iptables تُسقط حركة المرور غير الـ VPN عندما يعمل النفق؛ يمكنك أيضاً ضبط نظام تشغيل العميل لرفض الاتصالات غير الـ VPN افتراضياً. عدة تطبيقات مدير مفتوحة المصدر (wg-easy، WireGuard-UI، Pi-VPN) تُلفِّف هذا نيابةً عنك.

جاهز