VPN تجاري ينقل مشكلة الثقة مزوّداً واحداً جانبياً. الاستضافة الذاتية لـ WireGuard على VPS شمالي خالٍ من KYC تستبدل الثقة بالحساب — مفاتيحك، وصندوقك، وIP خروجك، ولا خصم متكرر لبطاقة ائتمان لأحد.
WireGuard أصلي للنواة بأقل من ميلي ثانية — لا جسر userspace، لا عنق زجاجة TUN، عدة gigabits من النص الواضح لكل نواة.
IPs خروج شمالية يمكن لأجهزتك الثقة بها فعلاً — ستوكهولم أو هلسنكي أو أوسلو أو ريكيافيك، ولايات قضائية بدون تكليف باحتفاظ البيانات للمضيفين.
مبني على VPS بسعر 5.90$/شهر لا يدين لأحد بهوية — مدفوع بـ Bitcoin أو Monero، لا بطاقة مسجلة، ولا خصم تلقائي متكرر.
مزوّد VPN تجاري يبيعك وعداً: "لا نسجّل". تتحقق من الوعد بقراءة موقعهم التسويقي، وآخر تدقيق لهم (إن وُجد)، والثقة بأن لا الشركة ولا الشركة الأم قد تغيّر مالكها منذ ذلك الحين. الوعد غير قابل للتحقق من الخارج — الكيان الوحيد الذي يستطيع تأكيد "لا سجلات" هو ذاك الذي لديه كل شيء ليخسره بالاعتراف بخلاف ذلك.
خادم WireGuard مُستضاف ذاتياً يستبدل الوعد بالبنية. تُثبّت الخدمة، تولّد المفاتيح، تكتب قائمة الأقران. المفاتيح لا تغادر الصندوق أبداً. لا يوجد مزوّد منبع ليُسجّل أي شيء لأنه لا يوجد مزوّد منبع — يوجد وحدة نواة Linux وملف إعداد واحد.
المقايضة تشغيلية. تصبح المتصل الاستدعائي. إذا أعيد تشغيل VPS ولم تكن وحدة wg0 الخاصة بك مفعّلة عند الإقلاع، فلن يعود نفقك بدونك. إذا غيّر تحديث نواة افتراض sysctl، فستُصحّحه. لشخص واحد وحفنة من الأجهزة هذا إعداد بـ 90 دقيقة و~10 دقائق ربعياً للصيانة؛ لعائلة من خمسة أفراد أو فريق صغير، الحساب يظل في صالحك.
السؤال الصحيح ليس "استضافة ذاتية أم تجاري" بشكل مجرّد — بل هو "هل أثق بنفسي مع مفتاح SSH أكثر مما أثق بصفحة تسويقية". إذا كانت الإجابة نعم، فإن باقي هذه الصفحة هو الوصفة.
لـ VPN شخصي — حاسبك المحمول، هاتفك، جهاز لوحي، وبضعة أجهزة دائماً في النفق — فإن Sentinel (5.90$/شهر، 2 vCPU، 4 GB) هو النقطة المثلى. مسار بيانات WireGuard داخل النواة خفيف جداً لدرجة أن المعالج ليس القيد؛ القيد هو الوصلة الصاعدة غير المحسوبة 1 Gbps، وهي كريمة لمنزل واحد.
خمسة أجهزة أو أكثر على النفق، شريك أو عائلة يعيش أيضاً وراءه، أو حالة استخدام تدفع حجم تنزيل جدّياً (مختبر منزلي يجلب نسخاً احتياطية، عميل torrent يعيش في النفق) — هنا تكسب فئة Garrison (11.90$/شهر، 4 vCPU، 8 GB) موقعها. الـ RAM الإضافية ليست لـ WireGuard — بل لما ستستضيفه حتماً على الصندوق نفسه (Pi-hole، Mastodon صغير، Uptime-Kuma).
فريق صغير — 10–25 قريناً، محاربو طريق دائمون، رابط من موقع إلى موقع لمختبر منزلي — يريد Ravelin (23.90$/شهر، 8 vCPU، 16 GB). ما بعد ذلك، يتوقف عنق الزجاجة عن كونه VPS ويبدأ يكون الوصلة الصاعدة 1 Gbps نفسها، والحركة الصحيحة هي ترقية منطقة القلعة أو التقسيم إلى بوابتين إقليميتين.
ما لا تكون أي من هذه: مكثّف مؤسسي بألف قرين. NordBastion مبني لمشغّل واحد مع أجهزته الخاصة وأشخاص يعرفهم فعلاً — لا لبيع اشتراكات للغرباء.
A skeleton sketch — the full step-by-step guide covers the firewall, the per-device QR codes, and the kill-switch reading list.
صورة Debian/Ubuntu، مُحضَّرة مسبقاً على كل VPS من NordBastion. سطر apt واحد، بدون مستودعات إضافية.
# على VPS، كجذرapt install wireguardمفتاح خاص للخادم، وواحد لكل قرين. المفتاح الخاص لا يغادر الصندوق الذي يملكه أبداً.
wg genkey | tee privkey \
| wg pubkey > pubkeyكتلة الواجهة: المفتاح الخاص للخادم، منفذ الاستماع 51820، والشبكة الفرعية للنفق 10.66.66.0/24 التي ستوزّعها على الأقران.
nano /etc/wireguard/wg0.conf
# [Interface] Address, PrivateKey,
# ListenPort, PostUp NAT rulesوحدة systemd مرفقة مع الحزمة. تنجو من إعادات التشغيل ودورات الإنقاذ التي تبدأها لوحة التحكم.
systemctl enable \
--now wg-quick@wg0كتلة [Peer] واحدة لكل جهاز، مع المفتاح العام لذلك الجهاز وIP النفق المخصص له. إعادة تحميل حية، لا حاجة لإعادة تشغيل.
wg set wg0 peer <PUBKEY> \
allowed-ips 10.66.66.2/32نسجّلك ببريد إلكتروني + كلمة مرور، تشحن بـ Bitcoin أو Monero، تُقلع VPS. لا يوجد مُصدِر بطاقة ائتمان في المنتصف أجرى عليك KYC، ولا PSP يُحيل هويتك الفوترية مع IP الذي أضأته للتو. الصندوق يخصّ "الرصيد المدفوع مسبقاً تحت هذا البريد"، وهذه نهاية الارتباط.
السويد وفنلندا والنرويج وآيسلندا لا تفرض تكليفاً باحتفاظ البيانات للمضيفين — لا يوجد مكافئ لقانون Investigatory Powers البريطاني يطلب منا الاحتفاظ بسجلات الاتصال "تحسّباً". فوق هذه الأرضية القانونية ننشر warrant canary موقَّعاً بـ PGP شهرياً وتقرير شفافية متجدد؛ غياب السجلات قابل للتدقيق، لا مجرد ادعاء.
لا سقف نقل، ولا بند فائض نطاق ترددي، ولا سقف "استخدام عادل" يزحف. Sentinel يأتي بنفس الوصلة الصاعدة 1 Gbps كالفئات المخصصة — مما يعني أن إنتاجية VPN الخاصة بك مقيّدة بمسار بيانات WireGuard في النواة (عدة Gbps لكل نواة) والاتصال البيني المنبع، لا بجدول حسابات محاسب.
الاستضافة الذاتية لـ WireGuard VPN هي إحدى أعلى الأشياء رافعة يمكنك فعلها على VPS صغير. بسعر اشتراك VPN تجاري واحد تحصل على صندوق Linux شمالي عام الأغراض يتصادف أيضاً أنه يكشف نفقاً مشفّراً بسرعة النواة لكل جهاز تملكه.
NordBastion رأيي بشأن الأجزاء التي تهم لهذه المهمة بالذات — تسجيل خالٍ من KYC، فوترة بالعملات المشفرة فقط، قضاء شمالي، وصلة صاعدة غير محسوبة — وعادي عمداً بشأن البقية. VPS هو VPS. النواة هي النواة. WireGuard يعمل بنفس الطريقة كما في أي مكان آخر؛ ما يختلف هو من يستطيع طرح أسئلة مهذبة عمن يقع في الطرف الآخر.
If you are coming from a commercial VPN, the migration is one afternoon. If you are starting from scratch, the step-by-step guide picks up where this editorial leaves off.
الأسئلة الثمانية التي يطرحها المشغّلون فعلاً قبل إقامة WireGuard VPN خاص بهم على VPS شمالي.
VPN تجاري ينقل مشكلة الثقة خطوة جانبية: بدلاً من الثقة بمزوّد الإنترنت، تثق بمزوّد VPN ألا يسجّل، وألا يُستدعى قضائياً، وألا تشتريه شركة ستفعل ذلك. الاستضافة الذاتية على VPS شمالي خالٍ من KYC تستبدل تلك الثقة بالحساب — الشخص الوحيد الذي لديه shell على الصندوق هو أنت، والوحيد الذي يدفع للصندوق هو أنت، والمضيف (NordBastion) لا يعرف من هو "أنت" أصلاً. المقايضة هي أنك تصبح المشغّل: عندما ينكسر في الساعة 23:00 ليلة الأحد، تكون نوبة الاستدعاء بعمق شخص واحد.
بأريحية. WireGuard يعمل في نواة Linux، مما يعني أن نواة Sentinel واحدة (Intel Xeon، 3.4 GHz boost) يمكنها تشفير وتمرير ما يقارب 5–8 Gbps من النص الواضح بمعدل الخط قبل أن يصبح المعالج عنق الزجاجة. خمسة أجهزة متزامنة، حتى لو كانت كلها تبث 4K، لن تظهر على متوسط الحمل. سبب الترقية ليس الإنتاجية — بل ما إذا كان VPS يستضيف أيضاً شيئاً آخر (Pi-hole، خادم وسائط، خادم Matrix) يريد الأنوية لنفسه.
نعم — Netflix وحفنة من خدمات البث تُطبّق حظراً جغرافياً على ASN، و"هذا IP ينتمي لشبكة استضافة" يكفي لإعادة توجيهك إلى الكتالوج الإقليمي أو الـ 403 الإجباري. البنوك أكثر تدقيقاً: معظمها تقبل الاتصال لكنها ترفع درجة الاحتيال وقد تُحفّز مطالبة MFA إضافية. إذا كانت مهمة VPN الخاص بك هي الخصوصية + خروج شمالي للتصفح والعمل، فهذا غير مرئي لك. أما إذا كانت مهمته Netflix-US، فإن VPS مُستضاف ذاتياً لن يحل ذلك — ولا VPN تجاري يحل ذلك بشكل موثوق أيضاً؛ لعبة الفأر والقط تتحرك أسرع من خط نشر أي شخص.
إلزامي، وليس مهمة VPS. اضبط جانب العميل: على Linux/Android خطاطيف post-up لجدار الحماية في wg-quick (أو قاعدة iptables/nftables بسيطة ترفض حركة المسار الافتراضي التي لا تخرج عبر wg0)؛ على iOS/macOS تطبيق WireGuard الرسمي يكشف "On-Demand" + "Exclude routes"؛ على Windows العميل الرسمي لديه مفتاح "Block untunneled traffic (kill-switch)". يحمل VPS المفاتيح ويُمرّر الحزم؛ ورفض التسرّب عندما يكون النفق معطّلاً هو مهمة العميل.
Sentinel بسعر 5.90$/شهر هو تقريباً نفس التكلفة الشهرية لاشتراك VPN تجاري (NordVPN وMullvad وIVPN كلها في فئة 5–12$/شهر). ما يتغير هو مساحة السطح: تحصل على IP خروج شمالي واحد بدلاً من 50 دولة، وتحصل على صندوق Linux كامل عام الأغراض بدلاً من نقطة نهاية نفق فقط. إذا كانت حاجتك الوحيدة "الظهور من دولة أخرى لتجاوز حظر جغرافي"، فالتجاري هو الأداة المناسبة. أما إذا أردت VPN خاصاً يقوم أيضاً بدور مضيف القفز وصندوق المراقبة وPi-hole الشخصي، فيفوز VPS.
لا — وهذا هيكلي، لا وعد. WireGuard يلفّ كل حزمة IP في غلاف ChaCha20-Poly1305 مرتبط بمفتاحك الخاص، الذي لا يغادر VPS الخاص بك. NordBastion يرى نفس ما يراه مزوّد الإنترنت على وصلته الصاعدة: UDP مشفّر بين IP-ين. لا توجد نقطة فك تشفير في الخط، ولا مستوى خدمة VPN مُدار، ولا حفظ مفاتيح. warrant canary وتقرير الشفافية المنشور يصفان ما سيحدث لو حاول أحد إجبارنا على فك تشفيره (لا نستطيع).
نعم، وهو نمط شائع: WireGuard يستمع على UDP/51820 كنقطة دخولك، VPS يوجّه حركة مختارة إلى Tor SOCKS5 محلي (المنفذ 9050) لأعباء الخروج عبر onion، وكل شيء آخر يخرج عبر IP الشمالي العادي. Sentinel يكفي؛ الملاحظة التشغيلية الوحيدة هي إعطاء Tor وحدة systemd خاصة به وتحديد معدله بحيث لا تأكل إنتاجية VPN انفجارات دوائر Tor. فئة Garrison (11.90$/شهر، 4 vCPU/8 GB) هي المنزل المريح لهذا المزيج.
NordBastion شمالي فقط بحكم المبدأ — ستوكهولم وهلسنكي وأوسلو وريكيافيك. إذا كانت حالة الاستخدام تتطلب "يظهر من سنغافورة" أو "يظهر من البرازيل"، فإن VPS من NordBastion هو الأداة الخاطئة لذلك الخروج تحديداً. معظم الناس الذين يصلون إلى هنا يريدون العكس — خروجاً شمالياً مستقراً وجيد الاتصال البيني ومنخفض ضغط السجلات — وهذا بالضبط ما تُحسّن المنصة من أجله.