Una VPN comercial desplaza el problema de confianza un proveedor hacia el lado. Alojar WireGuard tú mismo en un VPS nórdico sin KYC reemplaza la confianza con aritmética — tus claves, tu servidor, tu IP de salida y sin cargo recurrente a ninguna tarjeta de crédito.
WireGuard nativo del kernel con latencia inferior al milisegundo: sin puente en espacio de usuario, sin cuello de botella en TUN, varios gigabits de texto claro por núcleo.
IPs de salida Nordic en las que tus dispositivos pueden confiar de verdad: Stockholm, Helsinki, Oslo o Reykjavík, jurisdicciones sin mandato de retención de datos para los proveedores de alojamiento.
Construido sobre un VPS de $5,90/mes que no debe identidad a nadie — pagado en Bitcoin o Monero, sin tarjeta registrada, sin cargo automático recurrente.
Un proveedor de VPN comercial te vende una promesa: «no registramos nada». Verificas esa promesa leyendo su sitio de marketing, su última auditoría (si la hubo) y confiando en que ni la empresa ni su matriz han cambiado de manos desde entonces. La promesa no es verificable desde el exterior — la única entidad que puede confirmar «sin registros» es la que tiene todo que perder si admite lo contrario.
Un servidor WireGuard autoalojado reemplaza la promesa con estructura. Tú instalas el daemon, tú generas las claves, tú escribes la lista de pares. Las claves nunca abandonan el servidor. No hay proveedor ascendente que registre nada porque no hay proveedor ascendente — solo hay un módulo del kernel de Linux y un único archivo de configuración.
La contrapartida es operacional. Tú pasas a ser el responsable de guardia. Si el VPS se reinicia y tu unidad wg0 no está habilitada al inicio, el túnel no vuelve sin ti. Si una actualización del kernel cambia un parámetro sysctl, tú lo depuras. Para una persona y un puñado de dispositivos esto supone 90 minutos de configuración y ~10 minutos de mantenimiento al trimestre; para una familia de cinco o un equipo pequeño, la matemática sigue siendo favorable.
La pregunta correcta no es «autoalojamiento o comercial» en abstracto —es «¿confío más en mí mismo con una clave SSH que en una página de marketing?». Si la respuesta es sí, el resto de esta página es la receta.
Para una VPN personal — tu portátil, tu teléfono, una tableta, un par de dispositivos siempre tunelizados — el Sentinel ($5,90/mes, 2 vCPU, 4 GB) es el punto óptimo. La ruta de datos en el kernel de WireGuard es tan ligera que la CPU no es la limitación; la limitación es el enlace de 1 Gbps sin medición, que es generoso para un hogar.
Cinco o más dispositivos en el túnel, una pareja o familia que también vive detrás de él, o un caso de uso que exige un volumen de descarga serio (un homelab que obtiene copias de seguridad, un cliente torrent que vive en el túnel) — es cuando el Garrison ($11,90/mes, 4 vCPU, 8 GB) se gana su lugar. La RAM adicional no es para WireGuard — es para lo que inevitablemente también alojarás en el mismo servidor (un Pi-hole, un Mastodon pequeño, un Uptime-Kuma).
Un equipo pequeño — 10–25 pares, usuarios móviles habituales, un enlace sitio a sitio con un homelab — necesita el Ravelin ($23,90/mes, 8 vCPU, 16 GB). Más allá de eso, el cuello de botella deja de ser el VPS y pasa a ser el propio enlace ascendente de 1 Gbps, y la opción correcta es actualizar la región del bastión o dividirlo en dos pasarelas regionales.
Lo que ninguna de estas es: un concentrador corporativo de mil pares. NordBastion está construido para un operador con sus propios dispositivos y personas que realmente conoce —no para vender suscripciones a desconocidos—.
A skeleton sketch — the full step-by-step guide covers the firewall, the per-device QR codes, and the kill-switch reading list.
Imagen de Debian/Ubuntu, preinstalada en cada VPS de NordBastion. Una línea de apt, sin repositorios adicionales.
# en el VPS, como rootapt install wireguardUna clave privada para el servidor, una por par. La clave privada nunca abandona el servidor que la posee.
wg genkey | tee privkey \
| wg pubkey > pubkeyEl bloque de interfaz: clave privada del servidor, puerto de escucha 51820 y la subred de túnel 10.66.66.0/24 que asignarás a los pares.
nano /etc/wireguard/wg0.conf
# [Interface] Address, PrivateKey,
# ListenPort, PostUp NAT rulesUnidad systemd incluida en el paquete. Sobrevive a reinicios y ciclos de rescate iniciados desde el panel.
systemctl enable \
--now wg-quick@wg0Un bloque [Peer] por dispositivo, con la clave pública de ese dispositivo y su IP de túnel asignada. Recarga en caliente, sin necesidad de reiniciar.
wg set wg0 peer <PUBKEY> \
allowed-ips 10.66.66.2/32We sign you up with email + password, you top up in Bitcoin or Monero, you boot a VPS. There is no credit-card issuer in the middle who has done KYC on you, no PSP cross-referencing your billing identity with the IP you just lit up. The box belongs to "the prepaid balance under this email", and that is the end of the linkage.
Sweden, Finland, Norway e Iceland no tienen mandato de retención de datos para los proveedores de alojamiento: no existe ningún equivalente a la Ley de Poderes de Investigación del Reino Unido que nos pida conservar registros de conexión «por si acaso». Sobre ese suelo legal publicamos un canario de garantías mensual firmado con PGP y un informe de transparencia continuo; la ausencia de registros es auditable, no solo declarada.
Sin límite de transferencia, sin línea de exceso de ancho de banda, sin techo de uso razonable progresivo. El Sentinel incluye el mismo enlace ascendente de 1 Gbps que los niveles dedicados, lo que significa que el rendimiento de tu VPN está limitado por la ruta de datos del kernel de WireGuard (varios Gbps por núcleo) y el peering upstream, no por la hoja de cálculo de un contable.
Autoalojar una VPN WireGuard es una de las acciones de mayor apalancamiento que puedes realizar en un VPS pequeño. Por el precio de una sola suscripción a una VPN comercial obtienes un servidor Linux Nordic de uso general que además expone un túnel cifrado a velocidad de kernel para todos tus dispositivos.
NordBastion tiene criterio propio en las partes que importan para este trabajo concreto —registro sin KYC, facturación exclusivamente en criptomonedas, jurisdicción Nordic, enlace ascendente no medido— y es deliberadamente ordinario en el resto. El VPS es un VPS. El kernel es un kernel. WireGuard funciona de la misma manera que en cualquier otro lugar; lo que difiere es quién puede hacer preguntas amables sobre quién está al otro lado.
If you are coming from a commercial VPN, the migration is one afternoon. If you are starting from scratch, the step-by-step guide picks up where this editorial leaves off.
Las ocho preguntas que los operadores realmente se hacen antes de levantar su propia VPN WireGuard en un VPS Nordic.
Una VPN comercial desplaza el problema de confianza un paso hacia el lado: en lugar de confiar en tu ISP, confías en que el proveedor de VPN no registre nada, no sea objeto de una citación judicial y no sea adquirido por una empresa que sí lo haga. Alojar el servicio tú mismo en un VPS nórdico sin KYC reemplaza esa confianza con aritmética — la única persona con shell en el servidor eres tú, la única persona que paga por el servidor eres tú, y el proveedor (NordBastion) no sabe quién eres en primer lugar. El compromiso es que te conviertes en el operador: cuando algo falla a las 23:00 de un domingo, la guardia de turno tiene una sola persona.
Con comodidad. WireGuard corre en el kernel de Linux, lo que significa que un único núcleo de Sentinel (Intel Xeon, boost de 3,4 GHz) puede cifrar y reenviar del orden de 5–8 Gbps de texto en claro a velocidad de línea antes de que la CPU se convierta en el cuello de botella. Cinco dispositivos simultáneos, incluso todos transmitiendo 4K, no se reflejarán en la carga media. El motivo para actualizar no es el rendimiento — es si el VPS también aloja otra cosa (un Pi-hole, un servidor multimedia, un servidor Matrix) que quiera los núcleos para sí.
Yes — Netflix and a handful of streaming services geofence on ASN, and "this IP belongs to a hosting network" is enough to redirect you to the regional catalogue or the captive 403. Banks are more nuanced: most accept the connection but raise the fraud-score and may trigger a step-up MFA prompt. If your VPN's job is privacy + Nordic egress for browsing and work, this is invisible to you. If its job is Netflix-US, a self-hosted VPS will not solve that — no commercial VPN solves it reliably either; the cat-and-mouse moves faster than anyone's deploy pipeline.
Obligatorio, y no es responsabilidad del VPS. Configura el lado del cliente: en Linux/Android, los hooks de firewall post-up de wg-quick (o una regla sencilla de iptables/nftables que deniegue el tráfico de ruta predeterminada que no salga por wg0); en iOS/macOS, la aplicación oficial de WireGuard expone «On-Demand» + «Exclude routes»; en Windows, el cliente oficial tiene un interruptor «Block untunneled traffic (kill-switch)». El VPS guarda las claves y reenvía paquetes; evitar fugas cuando el túnel está caído es responsabilidad del cliente.
Un Sentinel a $5,90/mes tiene aproximadamente el mismo coste mensual que una suscripción a una VPN comercial (NordVPN, Mullvad e IVPN están todas en la franja de $5–12/mes). Lo que cambia es el alcance: obtienes una IP de salida nórdica en lugar de 50 países, y obtienes un servidor Linux de uso general completo en lugar de solo un punto final de túnel. Si tu única necesidad es «parecer estar en otro país para evitar un bloqueo geográfico», la opción comercial es la herramienta adecuada. Si quieres una VPN privada que también funcione como tu jump-host, caja de monitoreo y Pi-hole personal, el VPS gana.
No, y esto es estructural, no una promesa. WireGuard envuelve cada paquete IP en un sobre ChaCha20-Poly1305 cifrado con tu clave privada, que nunca abandona tu VPS. NordBastion ve lo mismo que tu ISP ve en su enlace ascendente: UDP cifrado entre dos IPs. No hay ningún punto de descifrado en línea, ningún plano de servicio VPN gestionado, ningún depósito de claves. El canario de garantías y el informe de transparencia publicado describen lo que ocurriría si alguien intentara hacernos descifrar (no podemos).
Sí, y es un patrón común: WireGuard escucha en UDP/51820 como tu punto de entrada, el VPS enruta el tráfico seleccionado hacia un Tor SOCKS5 local (puerto 9050) para cargas de trabajo de salida onion, y todo lo demás sale por la IP Nordic habitual. El Sentinel es suficiente; la única nota operacional es darle a Tor su propia unidad systemd y limitarle la velocidad para que el rendimiento de la VPN no sea consumido por los picos de circuitos de Tor. El nivel Garrison (11,90 $/mes, 4 vCPU/8 GB) es el hogar cómodo para esta combinación.
NordBastion es exclusivamente Nordic por doctrina: Stockholm, Helsinki, Oslo, Reykjavík. Si el caso de uso requiere «aparece desde Singapur» o «aparece desde Brasil», un VPS de NordBastion es la herramienta equivocada para esa salida específica. La mayoría de las personas que llegan aquí quieren lo contrario: una salida Nordic estable, con buen peering y baja presión de registros, que es exactamente lo que optimiza la plataforma.