Un relé intermedio es lo más útil que un único VPS puede hacer por la internet abierta. Un Garrison a $11,90/mes mantiene ~50 Mbps — unos 16 TB al mes de ancho de banda donado — en un enlace sin medición cuya factura equivalente en AWS ascendería a $1.440.
Garrison a $11,90/mes es el punto óptimo para el relé intermedio — 4 vCPU, 8 GB, y margen para tor + nyx + un par de sidecars de monitoreo en el mismo servidor.
El registro sin KYC significa que la bandeja de entrada de informes de abuso es filtrada según la relevancia para el operador, no una pista documental que lleva de vuelta a tu nombre legal. Facturación exclusivamente en criptomonedas, sin tarjeta registrada.
Jurisdicción Nordic con un largo precedente pro-relay (Bahnhof, Pionen, departamentos universitarios de informática), enlace ascendente de 1 Gbps no medido, sin techo de transferencia que limite silenciosamente un relay saludable.
Tor es una de las pocas infraestructuras genuinamente gestionada por sus usuarios. Hay aproximadamente siete mil relés en el consenso público en cualquier día, y cada uno pertenece a un único operador que decidió que 12 $ adicionales al mes era un precio justo por una contribución medible al derecho a leer en privado. La red está construida con esas decisiones.
Un relé intermedio nunca origina tráfico hacia la internet pública — solo reenvía celdas Tor cifradas entre otros dos relés. Ese hecho estructural es lo que hace que operar un relé intermedio sea legalmente anodino casi en cualquier lugar: no hay nada de lo que un tercero pueda quejarse, porque el relé no envía, técnicamente, nada a ningún lugar que una persona normal pueda ver.
Las directrices del Tor Project para operadores de relés son la lectura canónica. La versión corta: elige un proveedor que no bloquee el protocolo, declara un correo electrónico de contacto para que las autoridades del consenso puedan localizarte, configura MyFamily si gestionas más de uno, y deja que el relé madure en el consenso durante sus primeras dos semanas. Después de eso, prácticamente no hay nada más que hacer.
El orgullo del operador es real. Cada circuito que Tor Browser construye a través de tu relé es una frase leída, un vídeo visto, un artículo publicado, un activista que llega a casa — pequeño, anónimo y exactamente el objetivo.
Para un relé intermedio serio — uno que aspire a mantener ~50 Mbps y conseguir un peso de consenso acorde con su enlace — el Garrison ($11,90/mes, 4 vCPU, 8 GB, 240 GB NVMe) es el punto de partida adecuado. El daemon de Tor es de hilo único por ORPort pero invierte la mayor parte de su presupuesto en AES y Curve25519; los núcleos adicionales te permiten ejecutar también Nyx, un exportador de nodos Prometheus y Unbound para higiene de resolución sin saturar el relé.
Si el objetivo es un relay de guardia (al que el consenso te promociona automáticamente tras suficiente tiempo de actividad y ancho de banda), el Ravelin ($23.90/mo, 8 vCPU, 16 GB, 480 GB NVMe) te ofrece margen para el mayor ritmo de rotación de circuitos que ven los guardias: estos son el primer salto para toda la población de Tor Browser que los elige, lo que implica más conexiones por segundo y una curva de RAM más pronunciada.
Un Sentinel ($5,90/mes, 2 vCPU, 4 GB) puede ejecutar un relé intermedio limitado a 15–20 Mbps y es una contribución perfectamente válida — el consenso de Tor no menosprecia los relés pequeños. Sin embargo, la relación ancho de banda/precio del Garrison es tan superior que la mayoría de los operadores que empiezan con un Sentinel migran a un Garrison en menos de un trimestre.
Lo que ninguna de estas es: un relé de salida. Los relés de salida son otra conversación —postura legal diferente, expectativas de gestión de abuso diferentes y una conversación de plataforma diferente con nosotros—. Empieza con un relé intermedio. Deja que madure. Luego, si todavía quieres hacer más, podemos hablar.
Un esquema básico — las directrices del Tor Project para operadores de relés siguen siendo la referencia autorizada para todo lo que sigue al consenso que aprende tu huella digital.
El paquete de distribución suele ir una versión por detrás. Añade deb.torproject.org para el daemon principal y la clave de firma.
# en el VPS, como rootapt install apt-transport-https
# añade el repositorio deb.torproject.org, luego:apt update && apt install torLas cuatro directivas que definen un relé intermedio. ContactInfo es obligatorio —sin él, tu relé se marca como candidato a «relé defectuoso»—.
Nickname BorealisRelay01
ORPort 9001
RelayBandwidthRate 6 MBytes
ContactInfo tor@your-domain
ExitRelay 0Permitir TCP/9001 entrante en el firewall del host. Dejar SSH en un puerto no estándar, fail2ban como de costumbre.
ufw allow 9001/tcp
ufw allow 22/tcp
ufw enableEl paquete Debian incluye un servicio tor@default. Actívalo al inicio para que un reinicio del panel de NordBastion no te elimine silenciosamente del consenso.
systemctl enable \
--now tor@default
journalctl -u tor@default -fEn 1–2 horas las autoridades de directorio te detectan; en 1–2 semanas el peso en el consenso se estabiliza. Marca tu huella dactilar en metrics.torproject.org.
cat /var/lib/tor/fingerprint
# luego visita:# metrics.torproject.org/rs.html#search/<FP>Un monitor basado en curses — ancho de banda, recuento de circuitos, tiempo de actividad — sobre tu sesión SSH existente. Sin panel público expuesto.
apt install nyx
nyxWhen some external scanner notices that your IP is in the public Tor consensus and fires off an automated complaint, the report lands at our abuse desk against an account that is "the prepaid balance behind this email". There is no card issuer to subpoena, no billing PII to forward, and our standing answer for middle relays is "this is a known, published, legal Tor relay" — not "let us forward your details upstream".
Sweden, Finland, Norway e Iceland tienen un largo precedente pro-relay: Bahnhof y Pionen aparecen citados en las propias preguntas frecuentes legales del Proyecto Tor, los departamentos universitarios de informática llevan más de una década gestionando relays públicos y no existe ningún régimen de licencias ni obligación de registro para nada de ello. La selección de nuestra región no está alineada por casualidad con las cuatro jurisdicciones donde operar un relay genera menor fricción.
Un relé intermedio saludable de 50 Mbps mueve aproximadamente 16 TB al mes en cada dirección. El mismo tráfico saliente en AWS a precios estándar supondría una factura de unos $1.440 — más que el coste anual completo de ejecutar un relé de nivel Garrison aquí. La política sin medición es la razón práctica por la que los operadores de relés aficionados no usan hiperescaladores; nosotros simplemente lo formalizamos.
Un relé intermedio de Tor es una de las contribuciones más económicas y desproporcionadamente valiosas que un único operador puede hacer a la internet abierta. Por aproximadamente el precio de una suscripción de streaming, reenvías 16 TB al mes de tráfico cifrado de forma sólida y enrutado de forma anónima para personas que nunca conocerás, en jurisdicciones que nunca sabrás, con propósitos que nunca leerás.
NordBastion está construido para las partes que importan en este trabajo concreto: registro sin KYC para que los informes de abuso no te identifiquen, jurisdicción Nordic con un largo precedente pro-relay, enlace ascendente no medido que no limita silenciosamente un relay saludable, y deliberadamente ordinario en el resto. El VPS es una máquina Debian. tor es el daemon upstream. Nyx lo vigila. El consenso de Tor hace el resto.
Si llevas un tiempo pensándolo, el Garrison cuesta lo que un café y requiere la atención de una tarde. El relay sobrevive a esa tarde durante años.
Las ocho preguntas que los operadores de relés novatos realmente se hacen antes de publicar una huella dactilar en el consenso.
Sí. Sweden, Finland, Norway e Iceland tratan la operación de relés de Tor como una actividad ordinaria de infraestructura de Internet: no hay requisito de licencia, no hay obligación de registro, y existe un largo historial de precedentes de operadores (Bahnhof, Pionen, departamentos universitarios de informática, colectivos afines a Riseup) que gestionan relés públicamente sin fricción legal. Las propias FAQ legales del Tor Project listan a Sweden como una jurisdicción amigable para los relés. Lo que esta página describe son relés intermedios y guard —nodos de no-salida que nunca originan tráfico hacia la Internet pública, que es la postura legal más segura para un operador por primera vez—.
No como tu primer relay, y no en un VPS de operador único sin infraestructura de apoyo. Los relays de salida sí originan tráfico hacia la internet pública, lo que significa que los informes de abuso sobre ese tráfico llegan a tu bandeja de entrada, aunque el usuario subyacente esté aguas arriba de ti. Opera salidas cuando tengas un correo dedicado para gestión de abusos, una opinión legal escrita para tu jurisdicción, idealmente una entidad sin ánimo de lucro (Torservers.net, una entidad estilo EFF o un grupo universitario) y tu propia relación a nivel AS con el proveedor. NordBastion está encantado de alojar relays intermedios y de guardia en cualquier nivel; las salidas son una conversación, no una casilla de verificación.
Un relé intermedio alojado en Garrison mantiene aproximadamente 30–60 Mbps una vez que el consenso de Tor ha aprendido a confiar en él (~1 semana de arranque). Eso equivale a 10–20 TB al mes, de entrada y salida, simétricamente. El enlace ascendente de 1 Gbps sin medición de NordBastion lo absorbe sin pestañear — como referencia, los mismos 16 TB/mes de tráfico saliente costarían aproximadamente $1.440/mes con los precios de transferencia por defecto de AWS EC2. La política sin medición es la razón principal por la que los operadores de relés aficionados acaban en proveedores como nosotros en lugar de en los hiperescaladores.
Para un relé intermedio: prácticamente nunca, porque los relés intermedios no originan tráfico hacia la internet pública — solo tráfico Tor cifrado al siguiente relé del circuito. Para un relé guardián: raramente, porque los guardianes solo ven el primer salto de entrada. El departamento de abuso de NordBastion entiende la diferencia y no reenviará informes automáticos genéricos del tipo «tu IP estuvo en un escaneo» sobre un relé intermedio publicado; nos pondremos en contacto contigo para cualquier cosa que parezca sustancial, lo que en la práctica es casi nada.
Tor permite que un único operador declare que varios relés pertenecen a la misma familia operacional mediante la directiva MyFamily de torrc. El consenso entonces se niega a construir circuitos que atraviesen dos relés de la misma familia —evitando que un operador desanonimice accidentalmente a sus propios usuarios—. Si pasas de un relé a dos o tres, declarar MyFamily es obligatorio; no cuesta nada y es la diferencia entre un operador cuidadoso y uno descuidado.
Las directivas de torrc. Un relé intermedio es el predeterminado —ORPort configurado, ExitRelay 0, sin necesidad de DirPort—. Un guard es un relé intermedio que ha acumulado suficiente tiempo de actividad y ancho de banda para que las autoridades de directorio lo marquen automáticamente como Guard; no eliges ser un guard, la red te asciende. Un relé de salida establece ExitRelay 1 y una ExitPolicy. El hardware es el mismo; la exposición legal no.
Sí —Nyx es un monitor basado en curses que se ejecuta en una sesión tmux sobre SSH y te muestra ancho de banda en vivo, recuento de circuitos, tiempo de actividad y peso en el consenso—. Para gráficos a más largo plazo, la página metrics.torproject.org del Tor Project indexa cada relé publicado por huella dactilar, para que puedas marcar el tuyo y observar cómo el peso en el consenso sube durante las primeras dos semanas. No se requiere ningún panel HTTP público, que es el valor predeterminado correcto para un relé.
Irrelevante para los relays intermedios y de guardia: no originan tráfico, por lo que nunca tocan el puerto 25 en ninguna dirección. Para los relays de salida, la política de salida reducida estándar cierra explícitamente el puerto 25 (el abuso de spam es la mayor fuente individual de quejas de los operadores) y recomendamos respetarla. NordBastion sí abre el puerto 25 para casos de uso legítimos de servidores de correo, pero en una máquina de relay conviene tenerlo cerrado a nivel de aplicación independientemente de la política de la plataforma.
Salida VPN a velocidad de kernel en un Sentinel: el caso de uso paralelo para operadores que quieren un túnel privado, no un relay público.
bitcoind + LND en NVMe, enrutado por Tor por defecto —el vecino natural de un relé de Tor en la misma cuenta del operador—.
Synapse cifrado de extremo a extremo en Docker Compose, federado y nórdico — para operadores que gestionan su propia mensajería E2E.