Ein WireGuard VPN auf einem VPS selbst hosten.
Fünfzehn Minuten bis zu Ihrem eigenen persönlichen VPN.
Fünf Schritte von „kein Server” zu „mein eigenes persönliches VPN” — KYC-frei bei der Registrierung, krypto-bezahlt, kein Drittanbieter-VPN-Anbieter in der Vertrauenskette. Getestet auf Debian 12 mit WireGuard 1.0+ im Mainline-Kernel.
- 01
Bereitstellen
Ein nordischer VPS
- 02
Installieren
apt install wireguard
- 03
Konfigurieren
Schlüssel + wg0.conf
- 04
Firewall
UDP 51820 + Weiterleitung
- 05
Verbinden
wg-quick up wg0
Eine nordische Bastion wählen, nahe dem eigenen Standort.
Im Panel: Bestellen → VPS → Sentinel ($5,90/Mon., 2 vCPU / 4 GB / 120 GB NVMe). Der Sentinel hat unbegrenzte Bandbreite und einen 1-Gbps-Uplink — genug für ein persönliches VPN auch bei vollem Streaming. Wählen Sie die Bastion, die Ihrem physischen Standort am nächsten ist, denn jedes Byte, das Sie senden, geht durch den VPS, bevor es sein Ziel erreicht. Ein europäischer Kunde wählt Stockholm oder Helsinki; ein Amerika-/Asien-Kunde wählt Reykjavík (niedrigste transatlantische Latenz) oder Oslo.
OS-Image: Debian 12 ist die Empfehlung. Ubuntu 22.04+ funktioniert identisch. Alpine funktioniert, verwendet aber andere Paketnamen (apk add wireguard-tools). FreeBSD funktioniert auch, aber die Konfigurationssyntax weicht ab. Der Server startet in etwa 90 Sekunden; Root-Anmeldedaten werden einmal im Panel angezeigt.
Ein Paket, bereits im Kernel.
Als Root per SSH einloggen. Dann:
apt update
apt install -y wireguard qrencode
Das war es. WireGuard ist seit 5.6 (März 2020) im Mainline-Linux-Kernel, daher installiert apt nur die User-Space-Tools (wg, wg-quick) — keine Modul-Kompilierung, kein DKMS, kein Kernel-Rebuild. Das qrencode-Paket wird in Schritt 5 nützlich sein, um die Client-Konfiguration als QR auf ein Telefon zu übertragen.
IP-Weiterleitung jetzt aktivieren, damit wir es bei Schritt 4 nicht vergessen:
echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
echo "net.ipv6.conf.all.forwarding=1" >> /etc/sysctl.conf
sysctl -p
Schlüssel generieren, wg0.conf schreiben. Zwei Minuten.
Ein Server-Schlüsselpaar generieren:
cd /etc/wireguard
umask 077
wg genkey | tee server_private.key | wg pubkey > server_public.key
Jetzt ein Client-Schlüsselpaar pro Gerät generieren:
wg genkey | tee laptop_private.key | wg pubkey > laptop_public.key
wg genkey | tee phone_private.key | wg pubkey > phone_public.key
/etc/wireguard/wg0.conf mit den Server-Einstellungen + einem [Peer]-Block pro Client erstellen:
[Interface]
PrivateKey = <contents of server_private.key>
Address = 10.66.66.1/24, fd00:66::1/64
ListenPort = 51820
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
[Peer]
# laptop
PublicKey = <contents of laptop_public.key>
AllowedIPs = 10.66.66.2/32
[Peer]
# phone
PublicKey = <contents of phone_public.key>
AllowedIPs = 10.66.66.3/32
UDP 51820 öffnen. Den Rest sperren.
Wenn Sie UFW verwenden (Standard auf Ubuntu):
ufw default deny incoming
ufw default allow outgoing
ufw allow 22/tcp # SSH (consider port-knocking or VPN-only in production)
ufw allow 51820/udp # WireGuard
ufw enable
NordBastion-Bastionen haben auch eine vorgelagerte Firewall, die vom Panel aus verwaltet wird — Sie können dort dieselben Regeln für Defense-in-Depth replizieren. Die Bastionen-Ebenen-Firewall blockiert, bevor das Paket den VPS erreicht, was CPU bei volumetrischem Scanning spart.
Ein empfehlenswerter Datenschutz-Tipp: Ändern Sie den WireGuard ListenPort von 51820 (dem Standard, den Scanner suchen) auf einen zufälligen Port zwischen 1024 und 65535. Das verbessert die Sicherheit gegen einen entschlossenen Angreifer nicht, reduziert aber den Lärm durch zufällige Scanner.
Den Tunnel aufbauen. Erster Client in Sekunden verbunden.
Auf dem Server:
systemctl enable --now wg-quick@wg0
wg # status: should show interface up
Eine Client-Konfiguration (laptop.conf) auf dem Server erstellen, dann auf den Laptop kopieren:
[Interface]
PrivateKey = <contents of laptop_private.key>
Address = 10.66.66.2/24, fd00:66::2/64
DNS = 1.1.1.1, 9.9.9.9 # or your favourite privacy resolver
[Peer]
PublicKey = <contents of server_public.key>
Endpoint = <server-ip>:51820
AllowedIPs = 0.0.0.0/0, ::/0
PersistentKeepalive = 25
Für Mobilgeräte die Konfiguration durch qrencode leiten und mit der WireGuard-App scannen:
qrencode -t ansiutf8 < phone.conf
Das war es. Der Client verbindet sich, der Tunnel kommt hoch, und das Laptop/Telefon erreicht das Internet nun über die nordische Bastion. Verifizieren mit: curl https://api.ipify.org — die zurückgegebene IP ist die öffentliche IP des VPS, nicht Ihre heimische.
Fragen, beantwortet.
Acht Fragen, die ein erstmaliger selbst gehosteter VPN-Kunde stellt.
Warum ein WireGuard-VPN selbst hosten statt NordVPN / Mullvad / ProtonVPN zu nutzen?
Drei echte Gründe. (1) Die Vertrauenskette schrumpft. Ein kommerzielles VPN bedeutet „diesem Unternehmen vertrauen, Sie nicht zu protokollieren”; ein selbst gehostetes bedeutet „diesem VPS-Anbieter vertrauen, Sie nicht zu protokollieren” — eine Partei weniger. (2) Der VPN-Endpunkt gehört Ihnen allein. Kommerzielle VPN-Exit-IPs werden über Tausende von Nutzern geteilt und von vielen Diensten blockiert; Ihr selbst gehosteter Endpunkt ist eine frische, saubere IP, die niemand markiert hat. (3) Kosten. Ein NordBastion Sentinel kostet $5.90/Mon. und betreibt ein VPN mit unbegrenzter Bandbreite; kommerzielle VPNs kosten $5–$15/Mon. für geteilte Infrastruktur.
Warum WireGuard statt OpenVPN?
WireGuard ist kleiner (4.000 Zeilen Kernel-Code gegenüber OpenVPNs ~100.000), schneller (oft 3–5× höherer Durchsatz auf derselben Hardware), einfacher zu konfigurieren (eine einzige Konfigurationsdatei statt CA/Zertifikat/dhparam-Infrastruktur) und audit-freundlich. Es ist seit 5.6 (2020) im Mainline-Linux-Kernel, daher kein Kompilierungsschritt. OpenVPN bleibt nützlich für Legacy-Kompatibilität und TCP-basierten Traffic; für alles andere ist WireGuard der moderne Standard.
Weiß mein ISP, dass ich ein VPN betreibe?
Ihr ISP sieht verschlüsselten UDP-Traffic auf Port 51820, der zu einer NordBastion-IP geht. Dieses Muster ist als VPN-Traffic erkennbar; was auf der anderen Seite ist, nicht. Wenn „überhaupt ein VPN zu betreiben” in Ihrem Kontext heikel ist, WireGuard auf Port 443 ausführen (es spricht UDP, nicht TCP, aber der Port ist derselbe wie HTTPS), und einen Verschleierungs-Wrapper wie udp2raw in Betracht ziehen, wenn der ISP WireGuard-Handshakes aktiv blockiert.
Kann ich den VPS als VPN UND als Server für andere Dinge nutzen?
Ja, gängiges Muster. Der VPS betreibt WireGuard plus was auch immer Sie sonst benötigen — eine persönliche Website, einen Bitcoin-Node, eine Mastodon-Instanz. Die Firewall-Regeln halten VPN-Traffic und öffentlich zugängliche Dienste isoliert; iptables/nft können VPN-Clients zu spezifischen lokalen Diensten routen und nicht zu anderen.
Was ist mit IP-Geolokalisierung — werden Websites denken, ich befinde mich in Schweden?
Ja — Ihre Exit-IP ist die NordBastion-Bastion, die Sie gewählt haben. Streaming-Dienste, die per IP geo-fencen, werden Sie als schwedisch (Stockholm-Bastion), finnisch (Helsinki), norwegisch (Oslo) oder isländisch (Reykjavík) behandeln. Banking-Seiten, die „aus neuem Land eingeloggt” markieren, lösen ihre Betrugsregeln aus; das ist das normale Verhalten, kein VPN-Problem.
Wie viele Clients kann ein WireGuard-Server verwalten?
Praktisch unbegrenzt für persönliche Nutzung. Jeder Peer fügt ein paar KB Arbeitsspeicher hinzu. Die Einschränkung ist Bandbreite und der Uplink der Bastion, nicht der WireGuard-Daemon selbst. Die Sentinel-Stufe mit unbegrenzter Bandbreite und einem 1-Gbps-Uplink wird gut gesättigt sein, bevor der WireGuard-Prozess es bemerkt.
Soll ich dies auf einem dedizierten VPS betreiben oder mit anderen Workloads teilen?
Ein dedizierter VPS ist aus OPSEC-Sicht sauberer — das einzige, womit die IP assoziiert wird, ist „mein persönliches VPN”. Wenn Sie Workloads mischen, teilen VPN-Traffic und der Traffic des anderen Workloads eine ausgehende IP, und ein Reputationsproblem von einem überträgt sich auf den anderen. Für $5,90/Mon. ist es sinnvoll, sie getrennt zu halten.
Ist selbst gehostetes WireGuard killswitch-fähig?
Ja, Client-seitig. WireGuard-Konfigurationen unterstützen einen PostUp/PostDown-Block, in dem Sie iptables-Regeln hinzufügen, die Nicht-VPN-Traffic verwerfen, wenn der Tunnel aktiv ist; Sie können auch das Client-OS so einstellen, dass Nicht-VPN-Verbindungen standardmäßig verweigert werden. Mehrere Open-Source-Manager-Apps (wg-easy, WireGuard-UI, Pi-VPN) wrappen das für Sie.
Einen Sentinel bestellen und Ihr eigenes VPN starten.
Zuletzt überprüft · 2026-05-20 · Getestet · Debian 12 · WireGuard 1.0.20210914
Anonymous VPS hosting in 2026 — the cluster.
This guide is one spoke of a larger series. The pillar walks the three privacy layers end to end — the sibling spokes below dive into the specifics.
Three independent layers — signup, payment, network — explained, legal context included, common mistakes flagged.
A v3 .onion address that survives reboots and IP changes.
What “no KYC” actually means — and what it does not.
Why Sweden, Finland, Norway and Iceland — the legal floor of each.
XMR end-to-end — wallet, transfer, confirmations, change.