Komposition: Das NordBastion-Eisbär-Maskottchen in taktischer nordischer Rüstung steht neben einem Server-Rack, das mit drei konzentrischen zwiebel-violetten Circuit-Ringen leuchtet, polarlicht-violette Streifen oben zeichnen Tor-Circuit-Hops über eine Fjordnacht, ein dezentes lila-grünes Tor-Siegel ist in die Rack-Tür eingraviert
Anwendungsfall · Tor-Relay · Aktualisiert 2026

Spenden Sie Bandbreite an Tor.
Von einem nordischen Uplink, der Ihren Namen nicht kennt.

Ein Middle-Relay ist das nützlichste, was ein einzelner VPS für das offene Internet tun kann. Ein Garrison zu $11.90/Monat hält ~50 Mbps — etwa 16 TB pro Monat gespendete Bandbreite — auf einem unbemessenen Uplink, dessen AWS-äquivalente Egress-Rechnung auf $1.440 laufen würde.

Wählen Sie die richtige Stufe Zur torrc springen, die es hochfährt
Kurzfassung
  • 01

    Der Garrison zu $11.90/Monat ist der Middle-Relay-Sweet-Spot — 4 vCPU, 8 GB und die Reserve für tor + nyx + ein paar Monitoring-Sidecars auf derselben Maschine.

  • 02

    KYC-freie Anmeldung bedeutet, dass der Missbrauchsmeldungs-Posteingang einer ist, den wir nach Betreiber-Relevanz filtern, keine Papierspur zurück zu Ihrem Klarnamen. Ausschließliche Krypto-Abrechnung, keine hinterlegte Karte.

  • 03

    Nordische Jurisdiktion mit langem pro-Relay-Präzedenzfall (Bahnhof, Pionen, Universitäts-Informatik), unbemessener 1-Gbps-Uplink, keine Transfer-Obergrenze, die ein gesundes Relay still drosselt.

Warum überhaupt

Warum überhaupt ein Relay spenden.

Tor ist eines der wenigen Infrastrukturstücke, das tatsächlich von seinen Nutzern betrieben wird. An jedem beliebigen Tag gibt es ungefähr siebentausend Relays im öffentlichen Konsens, und jedes einzelne davon gehört einem einzelnen Betreiber, der entschied, dass zusätzliche $12 im Monat ein fairer Preis für einen messbaren Beitrag zum Recht, privat zu lesen, war. Das Netzwerk ist aus diesen Entscheidungen gebaut.

Ein Middle-Relay originiert nie Verkehr zum öffentlichen Internet hin — es leitet nur verschlüsselte Tor-Zellen zwischen zwei anderen Relays weiter. Diese strukturelle Tatsache ist es, die den Betrieb eines Middle-Relays fast überall rechtlich langweilig macht: Es gibt nichts, worüber sich ein Außenstehender beschweren könnte, weil das Relay technisch nichts irgendwohin sendet, wo ein normaler Mensch es sehen kann.

Die Relay-Betreiber-Richtlinien des Tor-Projekts sind die kanonische Lektüre. Die Kurzfassung: Wählen Sie einen Hoster, der das Protokoll nicht blockiert, deklarieren Sie eine Contact-Info-E-Mail, damit die Konsens-Authorities Sie erreichen können, setzen Sie MyFamily, wenn Sie mehr als eines betreiben, und lassen Sie das Relay in den ersten zwei Wochen in den Konsens hineinaltern. Danach gibt es im Wesentlichen nichts zu tun.

Der Betreiber-Stolz-Teil ist real. Jeder Circuit, den der Tor Browser über Ihr Relay aufbaut, ist ein gelesener Satz, ein angesehenes Video, ein eingereichter Artikel, eine nach Hause gelangende Organisatorin — klein, anonym und genau der Punkt.

Dimensionierung

Die richtige NordBastion-Stufe für die Aufgabe.

Für ein ernsthaftes Middle-Relay — eines, das ~50 Mbps halten will und ein Konsensgewicht erarbeiten will, das seinen Uplink wert ist — ist der Garrison ($11.90/Monat, 4 vCPU, 8 GB, 240 GB NVMe) der richtige Ausgangspunkt. Der Tor-Daemon ist pro ORPort single-threaded, verbringt aber den Großteil seines Budgets mit AES und Curve25519; die zusätzlichen Kerne lassen Sie auch Nyx, einen Prometheus-node-exporter und Unbound für Resolver-Hygiene betreiben, ohne das Relay zu drängen.

Wenn das Ziel ein Guard-Relay ist (zu dem der Konsens Sie nach genug Uptime und Bandbreite automatisch befördert), gibt Ihnen der Ravelin ($23.90/Monat, 8 vCPU, 16 GB, 480 GB NVMe) Reserve für die höhere Circuit-Churn, die Guards sehen — Guards sind der erste Hop für die gesamte Tor-Browser-Population, die sie auswählt, was mehr Verbindungen pro Sekunde und eine steilere RAM-Kurve bedeutet.

Ein Sentinel ($5.90/Monat, 2 vCPU, 4 GB) kann ein Middle-Relay mit 15–20 Mbps-Kappe betreiben, und es ist ein vollkommen ehrenwerter Beitrag — der Tor-Konsens verachtet keine kleinen Relays. Aber das Bandbreite/Dollar-Verhältnis des Garrison ist so viel besser, dass die meisten Betreiber, die auf einem Sentinel starten, innerhalb eines Quartals zu einem Garrison migrieren.

Was keines davon ist: ein Exit-Relay. Exits sind ein anderes Gespräch — andere rechtliche Haltung, andere Erwartungen an Missbrauchsbehandlung und ein anderes Plattform-Gespräch mit uns. Starten Sie mit einem Middle. Lassen Sie es altern. Wenn Sie dann immer noch mehr tun wollen, können wir reden.

Einrichtung

Vom frischen VPS bis zum ersten veröffentlichten Relay. Sechs Schritte, etwa dreißig Minuten.

Eine Skelett-Skizze — die Relay-Betreiber-Richtlinien des Tor-Projekts bleiben die maßgebliche Referenz für alles, was darauf folgt, dass der Konsens Ihren Fingerabdruck lernt.

  1. 01

    tor aus dem offiziellen Repo installieren

    Das Distributions-Paket ist oft ein Release hinterher. Fügen Sie deb.torproject.org für den Upstream-Daemon und den Signaturschlüssel hinzu.

    # auf dem VPS, als rootapt install apt-transport-https
# deb.torproject.org-Repo hinzufügen, dann:apt update && apt install tor
  2. 02

    /etc/tor/torrc schreiben

    Die vier Direktiven, die ein Middle-Relay definieren. ContactInfo ist verpflichtend — ohne sie wird Ihr Relay als „bad relay“-Kandidat markiert.

    Nickname BorealisRelay01
ORPort 9001
RelayBandwidthRate 6 MBytes
ContactInfo tor@your-domain
ExitRelay 0
  3. 03

    Den ORPort öffnen

    Erlauben Sie TCP/9001 eingehend in der Host-Firewall. Lassen Sie SSH auf einem Nicht-Standard-Port, fail2ban wie üblich.

    ufw allow 9001/tcp
ufw allow 22/tcp
ufw enable
  4. 04

    Als systemd-Unit aktivieren

    Das Debian-Paket liefert einen tor@default-Service. Beim-Boot-aktivieren, damit ein NordBastion-Panel-Reboot Sie nicht still aus dem Konsens fallen lässt.

    systemctl enable \
  --now tor@default
journalctl -u tor@default -f
  5. 05

    Auf metrics registrieren

    Innerhalb von 1–2 Stunden nehmen die Directory Authorities Sie auf; innerhalb von 1–2 Wochen stabilisiert sich das Konsensgewicht. Setzen Sie ein Lesezeichen auf Ihren Fingerabdruck auf metrics.torproject.org.

    cat /var/lib/tor/fingerprint
# besuchen Sie dann:# metrics.torproject.org/rs.html#search/<FP>
  6. 06

    Auf Nyx beobachten

    Ein curses-basierter Monitor — Bandbreite, Circuit-Anzahl, Uptime — über Ihre bestehende SSH-Session. Kein öffentliches Dashboard freigegeben.

    apt install nyx
nyx
Warum dieser Host für diese Aufgabe

Warum speziell NordBastion für ein Tor-Relay.

KYC-frei

Missbrauchs-Mail ist kein Brief an Ihren Klarnamen.

Wenn irgendein externer Scanner bemerkt, dass Ihre IP im öffentlichen Tor-Konsens steht, und eine automatische Beschwerde absetzt, landet die Meldung an unserer Missbrauchsstelle gegen ein Konto, das „das Prepaid-Guthaben hinter dieser E-Mail“ ist. Es gibt keinen Kartenherausgeber, den man vorladen könnte, keine abrechnungsseitigen personenbezogenen Daten zur Weitergabe, und unsere stehende Antwort für Middle-Relays ist „dies ist ein bekanntes, veröffentlichtes, legales Tor-Relay“ — nicht „lassen Sie uns Ihre Daten weiterleiten“.

Nordische Jurisdiktion

Tor-Relays sind überall, wo wir tätig sind, legal.

Schweden, Finnland, Norwegen und Island haben einen langen pro-Relay-Präzedenzfall — Bahnhof und Pionen werden in der rechtlichen FAQ des Tor-Projekts selbst zitiert, universitäre CS-Fakultäten betreiben seit über einem Jahrzehnt öffentliche Relays, und es gibt für nichts davon ein Lizenzregime oder eine Registrierungspflicht. Unsere Regionsauswahl ist nicht zufällig mit den vier Jurisdiktionen abgestimmt, in denen der Betrieb eines Relays am reibungsärmsten ist.

Unbemessen 1 Gbps

16 TB pro Monat, keine $1.440-Egress-Rechnung.

Ein gesundes 50-Mbps-Middle-Relay bewegt ungefähr 16 TB pro Monat in jede Richtung. Derselbe Egress auf AWS zur Standardpreisgestaltung würde mit ungefähr $1.440 berechnet — mehr als die gesamten jährlichen Kosten für den Betrieb eines Relay-Knotens der Garrison-Stufe hier. Die unbemessene Politik ist der praktische Grund, warum Hobbyisten-Relay-Betreiber nicht auf Hyperscalern laufen; wir formalisieren das schlicht.

Urteil

Betreiben Sie ein Middle-Relay auf einem Garrison. Lassen Sie den Konsens Ihren Fingerabdruck lernen. Sehen Sie zu, wie das Gewicht steigt.

Ein Tor-Middle-Relay ist einer der günstigsten, überproportional wirksamsten Beiträge, die ein einzelner Betreiber für das offene Internet leisten kann. Für etwa den Preis eines Streaming-Abonnements leiten Sie 16 TB pro Monat stark verschlüsselten, anonym geleiteten Verkehr für Menschen weiter, die Sie nie treffen werden, in Jurisdiktionen, die Sie nie kennen werden, für Zwecke, die Sie nie lesen werden.

NordBastion ist für die Teile gebaut, die für diese spezifische Aufgabe wichtig sind — KYC-freie Anmeldung, damit Missbrauchsmeldungen sich nicht zu Ihnen personalisieren, nordische Jurisdiktion mit langem pro-Relay-Präzedenzfall, unbemessener Uplink, der ein gesundes Relay nicht still kappt — und ist beim Rest bewusst gewöhnlich. Der VPS ist eine Debian-Maschine. tor ist der Upstream-Daemon. Nyx beobachtet es. Der Tor-Konsens erledigt den Rest.

Wenn Sie schon eine Weile darüber nachgedacht haben: Der Garrison kostet so viel wie ein Kaffee und einen Nachmittag an Aufmerksamkeit. Das Relay überlebt den Nachmittag um Jahre.

FAQ · Tor-Relay auf einem VPS

Die Fragen, die zuerst aufkommen.

Die acht Fragen, die erstmalige Relay-Betreiber tatsächlich stellen, bevor sie einen Fingerabdruck im Konsens veröffentlichen.

Ist der Betrieb eines Tor-Relays dort legal, wo NordBastion arbeitet?

Ja. Schweden, Finnland, Norwegen und Island behandeln den Betrieb von Tor-Relays als gewöhnliche Internet-Infrastruktur-Tätigkeit: Es gibt keine Lizenzpflicht, keine Registrierungspflicht und einen langen Bestand an Betreiber-Präzedenzfällen (Bahnhof, Pionen, universitäre CS-Fakultäten, Riseup-nahe Kollektive), die Relays öffentlich ohne rechtliche Reibung betreiben. Die rechtliche FAQ des Tor-Projekts selbst listet Schweden als freundliche Jurisdiktion für Relays. Was diese Seite beschreibt, sind Middle- und Guard-Relays — Nicht-Exit-Knoten, die nie Verkehr zum öffentlichen Internet hin originieren, was die sicherste rechtliche Haltung für einen erstmaligen Betreiber ist.

Sollte ich auch ein Exit-Relay betreiben?

Nicht als Ihr erstes Relay und nicht auf einem Single-Betreiber-VPS ohne unterstützende Infrastruktur. Exit-Relays originieren Verkehr zum öffentlichen Internet — das bedeutet, Missbrauchsmeldungen zu diesem Verkehr landen in Ihrem Posteingang, auch wenn der zugrunde liegende Nutzer Upstream von Ihnen ist. Betreiben Sie Exits, wenn Sie eine dedizierte Missbrauchs-E-Mail haben, ein schriftliches Rechtsgutachten für Ihre Jurisdiktion, idealerweise einen gemeinnützigen Träger (Torservers.net, eine EFF-artige Entität oder eine Universitätsgruppe) und eine eigene AS-Ebenen-Beziehung zum Host. NordBastion hostet gerne Middle- und Guard-Relays auf jeder Stufe; Exits sind ein Gespräch, kein Kontrollkästchen.

Wie viel Bandbreite wird ein Relay tatsächlich verbrauchen?

Ein gesundes Middle-Relay auf einem Garrison hält ungefähr 30–60 Mbps, sobald der Tor-Konsens gelernt hat, ihm zu vertrauen (~1 Woche Hochlauf). Das ergibt 10–20 TB pro Monat, ein- und ausgehend, symmetrisch. Der 1-Gbps-unbemessene Uplink von NordBastion absorbiert das ohne mit der Wimper zu zucken — zum Kontext: Dieselben 16 TB/Monat Egress würden auf der Standard-Transferpreisgestaltung von AWS EC2 ungefähr $1.440/Monat kosten. Die unbemessene Politik ist der größte einzelne Grund, warum Hobbyisten-Relay-Betreiber bei Hostern wie uns statt bei den Hyperscalern landen.

Werde ich Missbrauchs-Beschwerden erhalten?

Für ein Middle-Relay: praktisch nie, weil Middle-Relays keinerlei Verkehr zum öffentlichen Internet hin originieren — nur verschlüsselten Tor-Verkehr zum nächsten Relay im Circuit. Für ein Guard-Relay: selten, weil Guards nur den ersten Hop hinein sehen. Die Missbrauchsstelle von NordBastion versteht den Unterschied und wird generische „Ihre IP war in einem Scan“-Auto-Meldungen über ein veröffentlichtes Middle-Relay nicht weiterleiten; wir wenden uns für alles, was substantiell aussieht, an Sie, was in der Praxis fast nichts ist.

Was ist eine „Familie“ von Relays, und sollte ich mehr als eines betreiben?

Tor erlaubt einem einzelnen Betreiber, mehrere Relays per MyFamily-torrc-Direktive als zur selben Betriebsfamilie gehörig zu erklären. Der Konsens weigert sich dann, Circuits zu bauen, die zwei Relays derselben Familie durchqueren — was verhindert, dass ein Betreiber seine eigenen Nutzer versehentlich de-anonymisiert. Wenn Sie von einem Relay auf zwei oder drei wachsen, ist die Deklaration von MyFamily verpflichtend; sie kostet nichts und ist der Unterschied zwischen einem überlegten und einem nachlässigen Betreiber.

Middle vs. Guard vs. Exit — was ändert sich tatsächlich in der Konfiguration?

Die torrc-Direktiven. Ein Middle-Relay ist der Standard — ORPort gesetzt, ExitRelay 0, kein DirPort nötig. Ein Guard ist ein Middle, das genug Uptime und Bandbreite akkumuliert hat, damit die Directory Authorities es automatisch als Guard kennzeichnen; Sie entscheiden sich nicht aktiv für Guard-Status, das Netzwerk befördert Sie. Ein Exit-Relay setzt ExitRelay 1 und eine ExitPolicy. Die Hardware ist dieselbe; die rechtliche Exposition nicht.

Kann ich das Relay überwachen, ohne ein öffentliches Dashboard freizugeben?

Ja — Nyx ist ein curses-basierter Monitor, der in einer tmux-Session über SSH läuft und Ihnen Live-Bandbreite, Circuit-Anzahl, Uptime und Konsensgewicht liefert. Für längerfristige Graphen indexiert die metrics.torproject.org-Seite des Tor-Projekts jedes veröffentlichte Relay nach Fingerabdruck, sodass Sie Ihr eigenes als Lesezeichen speichern und das Konsensgewicht über die ersten zwei Wochen ansteigen sehen können. Kein öffentliches HTTP-Dashboard ist erforderlich, was die richtige Standardwahl für ein Relay ist.

Was ist mit Port 25 / SMTP-Egress auf einem Relay?

Irrelevant für Middle- und Guard-Relays — sie originieren keinen Verkehr, sodass sie Port 25 nie in irgendeiner Richtung berühren. Für Exit-Relays schließt die standardmäßige reduzierte Exit-Policy Port 25 explizit (Anti-Spam-Missbrauch ist die größte einzelne Quelle von Betreiber-Beschwerden), und wir empfehlen, das zu respektieren. NordBastion öffnet Port 25 für legitime Mailserver-Anwendungsfälle, aber auf einer Relay-Maschine wollen Sie ihn auf Anwendungsebene unabhängig von der Plattform-Politik geschlossen halten.

Weiterlesen

Weitere Anwendungsfälle, die denselben nordischen Uplink teilen.

Anwendungsfall

WireGuard-VPN-Server

Kernel-schneller VPN-Exit auf einem Sentinel — der Geschwister-Anwendungsfall für Betreiber, die einen privaten Tunnel wollen, kein öffentliches Relay.
Anwendungsfall

Bitcoin- & Lightning-Knoten

bitcoind + LND auf NVMe, standardmäßig Tor-geroutet — der natürliche Nachbar eines Tor-Relays unter demselben Betreiber-Account.
Anwendungsfall

Matrix-Homeserver

Ende-zu-Ende verschlüsseltes Synapse auf Docker Compose, föderiert und nordisch — für Betreiber, die ihr eigenes E2E-Messaging betreiben.
Den vollständigen Anwendungsfall-Hub ansehen