Ein kommerzielles VPN verschiebt das Vertrauensproblem nur einen Anbieter zur Seite. WireGuard selbst auf einem KYC-freien nordischen VPS zu hosten ersetzt Vertrauen durch Arithmetik — Ihre Keys, Ihre Box, Ihre Exit-IP und niemandes wiederkehrende Kreditkartenabbuchung.
Sub-Millisekunden Kernel-natives WireGuard — keine Userspace-Bridge, kein TUN-Engpass, mehrere Gigabit Klartext pro Kern.
Nordische Exit-IPs, denen Ihre Geräte tatsächlich vertrauen können — Stockholm, Helsinki, Oslo oder Reykjavík, Gerichtsbarkeiten ohne Datenspeicherungs-Mandat für Hoster.
Aufgebaut auf einem $5,90/Monat-VPS, das niemandem eine Identität schuldet — in Bitcoin oder Monero bezahlt, keine hinterlegte Karte, keine wiederkehrende Auto-Abbuchung.
Ein kommerzieller VPN-Anbieter verkauft Ihnen ein Versprechen: „wir loggen nicht". Sie verifizieren dieses Versprechen, indem Sie deren Marketing-Seite lesen, deren letztes Audit (falls es eines gab) und darauf vertrauen, dass weder das Unternehmen noch dessen Mutter seitdem den Besitzer gewechselt hat. Das Versprechen ist von außen unverifizierbar — die einzige Entität, die „keine Logs" bestätigen kann, ist diejenige, die alles zu verlieren hat, wenn sie etwas anderes zugibt.
Ein selbst-gehosteter WireGuard-Server ersetzt das Versprechen durch Struktur. Sie installieren den Daemon, Sie erzeugen die Keys, Sie schreiben die Peer-Liste. Die Keys verlassen die Box nie. Es gibt keinen Upstream-Anbieter, der etwas loggen könnte, weil es keinen Upstream-Anbieter gibt — es gibt ein Linux-Kernel-Modul und eine einzelne Konfigurationsdatei.
Der Kompromiss ist operativ. Sie werden zum On-Call. Wenn der VPS rebootet und Ihre wg0-Unit nicht beim Boot aktiviert ist, kommt Ihr Tunnel ohne Sie nicht zurück. Wenn ein Kernel-Update einen sysctl-Standard ändert, debuggen Sie es. Für eine Person und eine Handvoll Geräte ist das ein 90-Minuten-Setup und ~10 Minuten pro Quartal Wartung; für eine Familie von fünf oder ein kleines Team rechnet sich die Mathematik immer noch zu Ihren Gunsten.
Die richtige Frage ist nicht abstrakt „selbst hosten oder kommerziell" — sie lautet „traue ich mir selbst mit einem SSH-Key mehr als einer Marketing-Seite". Wenn die Antwort ja lautet, ist der Rest dieser Seite das Rezept.
Für ein persönliches VPN — Ihr Laptop, Ihr Telefon, ein Tablet, ein paar Geräte, die immer getunnelt sind — ist der Sentinel ($5,90/Monat, 2 vCPU, 4 GB) der Sweet Spot. WireGuards Im-Kernel-Datenpfad ist so leicht, dass die CPU nicht die Einschränkung ist; die Einschränkung ist der 1-Gbps-ungedrosselte-Uplink, der für einen Einzelhaushalt großzügig ist.
Fünf oder mehr Geräte am Tunnel, ein Partner oder eine Familie, die ebenfalls dahinter leben, oder ein Anwendungsfall, der ernstes Download-Volumen pusht (ein Homelab, das Backups zieht, ein Torrent-Client im Tunnel) — dann verdient der Garrison ($11,90/Monat, 4 vCPU, 8 GB) seinen Unterhalt. Der zusätzliche RAM ist nicht für WireGuard — er ist für alles andere, was Sie unweigerlich auf derselben Box mit-hosten werden (ein Pi-hole, ein kleines Mastodon, ein Uptime-Kuma).
Ein kleines Team — 10–25 Peers, dauerhafte Road-Warriors, ein Site-to-Site-Link zu einem Homelab — will den Ravelin ($23,90/Monat, 8 vCPU, 16 GB). Darüber hinaus hört der Engpass auf, der VPS zu sein, und wird der 1-Gbps-Uplink selbst, und der richtige Schachzug ist, die Bastion-Region zu upgraden oder in zwei regionale Gateways aufzuteilen.
Was keines davon ist: ein Tausend-Peer-Unternehmens-Konzentrator. NordBastion ist für einen Betreiber mit seinen eigenen Geräten und Leuten gebaut, die er tatsächlich kennt — nicht für den Verkauf von Abonnements an Fremde.
A skeleton sketch — the full step-by-step guide covers the firewall, the per-device QR codes, and the kill-switch reading list.
Debian-/Ubuntu-Image, auf jedem NordBastion-VPS vorgefertigt. Eine apt-Zeile, keine zusätzlichen Repos.
# auf dem VPS, als rootapt install wireguardEin privater Key für den Server, einer pro Peer. Der private Key verlässt die Box, die ihn besitzt, nie.
wg genkey | tee privkey \
| wg pubkey > pubkeyDie Interface-Stanza: Server-Private-Key, Listen-Port 51820 und das Tunnel-Subnetz 10.66.66.0/24, das Sie an Peers vergeben.
nano /etc/wireguard/wg0.conf
# [Interface] Address, PrivateKey,
# ListenPort, PostUp NAT rulesSystemd-Unit, die mit dem Paket geliefert wird. Überlebt Reboots und panel-initiierte Rescue-Zyklen.
systemctl enable \
--now wg-quick@wg0Ein [Peer]-Block pro Gerät, mit dem Public-Key dieses Geräts und seiner zugewiesenen Tunnel-IP. Live-Reload, kein Neustart nötig.
wg set wg0 peer <PUBKEY> \
allowed-ips 10.66.66.2/32Wir melden Sie mit E-Mail + Passwort an, Sie laden in Bitcoin oder Monero auf, Sie booten einen VPS. Es gibt keinen Kreditkarten-Aussteller dazwischen, der KYC mit Ihnen durchgeführt hat, keinen Zahlungsdienstleister, der Ihre Abrechnungs-Identität mit der IP, die Sie gerade eingeschaltet haben, abgleicht. Die Box gehört „dem Prepaid-Guthaben unter dieser E-Mail", und das ist das Ende der Verknüpfung.
Schweden, Finnland, Norwegen und Island haben kein Datenspeicherungs-Mandat für Hoster — es gibt kein Äquivalent zu einem UK Investigatory Powers Act, das uns auffordert, Verbindungs-Logs „nur für den Fall" zu behalten. Über diesem rechtlichen Mindeststandard veröffentlichen wir einen monatlichen PGP-signierten Warrant Canary und einen rollierenden Transparenzbericht; das Fehlen von Logs ist auditierbar, nicht nur behauptet.
Kein Transfer-Cap, keine Bandbreitenmehrverbrauchs-Zeile, keine schleichende Fair-Use-Obergrenze. Der Sentinel liefert denselben 1-Gbps-Uplink wie die dedizierten Stufen — was bedeutet, dass Ihr VPN-Durchsatz durch WireGuards Kernel-Datenpfad (mehrere Gbps pro Kern) und das Upstream-Peering begrenzt ist, nicht durch die Tabelle eines Buchhalters.
Ein WireGuard-VPN selbst zu hosten ist eines der hebelstärksten Dinge, die Sie auf einem kleinen VPS tun können. Für den Preis eines einzelnen kommerziellen VPN-Abonnements bekommen Sie eine Allzweck-Nordische-Linux-Box, die zufällig auch einen kernel-schnellen verschlüsselten Tunnel für jedes Ihrer Geräte freigibt.
NordBastion hat eine klare Meinung zu den Teilen, die für diese spezielle Aufgabe zählen — KYC-freie Anmeldung, nur Krypto-Abrechnung, nordische Gerichtsbarkeit, ungedrosselter Uplink — und ist beim Rest bewusst gewöhnlich. Der VPS ist ein VPS. Der Kernel ist ein Kernel. WireGuard läuft so wie überall sonst; was sich unterscheidet, ist, wer höfliche Fragen darüber stellen kann, wer am anderen Ende ist.
If you are coming from a commercial VPN, the migration is one afternoon. If you are starting from scratch, the step-by-step guide picks up where this editorial leaves off.
Die acht Fragen, die Betreiber wirklich stellen, bevor sie ihr eigenes WireGuard-VPN auf einem nordischen VPS aufstellen.
Ein kommerzielles VPN verschiebt das Vertrauensproblem nur einen Schritt zur Seite: Statt Ihrem ISP zu vertrauen, vertrauen Sie dem VPN-Anbieter, nicht zu loggen, nicht angeordnet zu werden und nicht von einer Firma gekauft zu werden, die das tun wird. Selbst-Hosting auf einem KYC-freien nordischen VPS ersetzt dieses Vertrauen durch Arithmetik — die einzige Person mit Shell auf der Box sind Sie, die einzige Person, die für die Box bezahlt, sind Sie, und der Host (NordBastion) weiß ohnehin nicht, wer dieses „Sie" überhaupt ist. Der Kompromiss ist: Sie werden zum Betreiber: Wenn es Sonntag um 23:00 Uhr kaputtgeht, ist die On-Call-Rotation eine Person tief.
Komfortabel. WireGuard läuft im Linux-Kernel, was bedeutet, dass ein einzelner Sentinel-Kern (Intel Xeon, 3,4 GHz Boost) etwa 5–8 Gbps Klartext bei Line-Rate verschlüsseln und weiterleiten kann, bevor die CPU zum Engpass wird. Fünf gleichzeitige Geräte, selbst alle mit 4K-Streaming, registrieren sich nicht im Load-Average. Der Grund für ein Upgrade ist nicht der Durchsatz — es ist die Frage, ob der VPS auch etwas anderes hostet (ein Pi-hole, einen Media-Server, einen Matrix-Server), das die Kerne für sich will.
Ja — Netflix und eine Handvoll Streaming-Dienste geofencen nach ASN, und „diese IP gehört zu einem Hosting-Netzwerk" reicht, um Sie zum regionalen Katalog oder zum Captive-403 umzuleiten. Banken sind nuancierter: Die meisten akzeptieren die Verbindung, erhöhen aber den Fraud-Score und können einen Step-up-MFA-Prompt auslösen. Wenn die Aufgabe Ihres VPN Privatsphäre + nordischer Egress zum Browsen und Arbeiten ist, ist das für Sie unsichtbar. Wenn die Aufgabe Netflix-US ist, löst ein selbst-gehosteter VPS das nicht — kein kommerzielles VPN löst es zuverlässig; das Katz-und-Maus-Spiel bewegt sich schneller als jede Deploy-Pipeline.
Verpflichtend, und nicht die Aufgabe des VPS. Konfigurieren Sie die Client-Seite: auf Linux/Android die wg-quick-Post-up-Firewall-Hooks (oder eine einfache iptables/nftables-Regel, die Default-Route-Verkehr ablehnt, der nicht über wg0 ausgeht); auf iOS/macOS bietet die offizielle WireGuard-App „On-Demand" + „Exclude routes"; auf Windows hat der offizielle Client einen Schalter „Block untunneled traffic (kill-switch)". Der VPS hält die Keys und leitet Pakete weiter; nicht zu lecken, wenn der Tunnel unten ist, ist die Aufgabe des Clients.
Ein Sentinel zu $5,90/Monat kostet monatlich etwa dasselbe wie ein kommerzielles VPN-Abonnement (NordVPN, Mullvad, IVPN liegen alle im $5–12/Monat-Bereich). Was sich ändert, ist die Oberfläche: Sie bekommen eine nordische Exit-IP statt 50 Länder, und Sie bekommen eine vollständige Allzweck-Linux-Box statt nur eines Tunnel-Endpunkts. Wenn Ihr einziger Bedarf ist „aus einem anderen Land erscheinen, um einen Geo-Block zu umgehen", ist kommerziell das richtige Werkzeug. Wenn Sie ein privates VPN wollen, das gleichzeitig als Jump-Host, Monitoring-Box und persönliches Pi-hole dient, gewinnt der VPS.
Nein — und das ist strukturell, kein Versprechen. WireGuard hüllt jedes IP-Paket in einen ChaCha20-Poly1305-Umschlag ein, der mit Ihrem privaten Key verschlüsselt ist, der den VPS nie verlässt. NordBastion sieht dasselbe, was Ihr ISP auf seinem Uplink sieht: verschlüsseltes UDP zwischen zwei IPs. Es gibt keinen Inline-Entschlüsselungspunkt, keine Managed-VPN-Service-Ebene, kein Key-Escrow. Der Warrant Canary und der veröffentlichte Transparenzbericht beschreiben, was passieren würde, wenn jemand versuchte, uns zur Entschlüsselung zu zwingen (wir können nicht).
Ja, und es ist ein gängiges Muster: WireGuard lauscht auf UDP/51820 als Ihr Einstiegspunkt, der VPS routet ausgewählten Verkehr in ein lokales Tor SOCKS5 (Port 9050) für Onion-Egress-Arbeitslasten, und alles andere geht über die reguläre nordische IP aus. Der Sentinel reicht; der einzige operative Hinweis ist, Tor eine eigene systemd-Unit zu geben und Rate-Limit zu setzen, damit der VPN-Durchsatz nicht von Tor-Circuit-Bursts aufgefressen wird. Die Garrison-Stufe ($11,90/Monat, 4 vCPU/8 GB) ist das komfortable Zuhause für diese Kombination.
NordBastion ist per Doktrin nur nordisch — Stockholm, Helsinki, Oslo, Reykjavík. Wenn der Anwendungsfall „erscheint aus Singapur" oder „erscheint aus Brasilien" erfordert, ist ein NordBastion-VPS das falsche Werkzeug für diesen spezifischen Exit. Die meisten Leute, die hier landen, wollen das Gegenteil — einen stabilen, gut gepeerten, log-druckarmen nordischen Egress — und genau das optimiert die Plattform.