Auto-hébergez un VPN WireGuard sur un VPS.
Quinze minutes pour votre propre VPN personnel.
Cinq étapes depuis « aucun serveur » jusqu'à « mon propre VPN personnel » — sans KYC à l'inscription, payé en crypto, aucun fournisseur VPN tiers dans la chaîne de confiance. Testé sur Debian 12 avec WireGuard 1.0+ dans le noyau principal.
- 01
Provisionner
Un VPS nordique
- 02
Installer
apt install wireguard
- 03
Configurer
Clés + wg0.conf
- 04
Pare-feu
UDP 51820 + transfert
- 05
Connecter
wg-quick up wg0
Choisissez un bastion nordique proche de là où vous vivez.
Dans le panneau : Commander → VPS → Sentinel (5,90 $/mois, 2 vCPU / 4 GB / 120 GB NVMe). Le Sentinel dispose d'une bande passante illimitée et d'un lien montant 1 Gbps — largement suffisant pour un VPN personnel même en streaming complet. Choisissez le bastion le plus proche de votre emplacement physique, car chaque octet que vous envoyez passe par le VPS avant d'atteindre sa destination. Un client européen choisit Stockholm ou Helsinki ; un client Amériques / Asie choisit Reykjavík (latence transatlantique la plus basse) ou Oslo.
Image OS : Debian 12 est la recommandation. Ubuntu 22.04+ fonctionne de manière identique. Alpine fonctionne mais utilise des noms de paquets différents (apk add wireguard-tools). FreeBSD fonctionne également mais la syntaxe de configuration diverge. Le serveur démarre en environ 90 secondes ; les identifiants root sont affichés une seule fois dans le panneau.
Un seul package, déjà dans le noyau.
Connectez-vous en SSH en tant que root. Puis :
apt update
apt install -y wireguard qrencode
C'est tout. WireGuard est dans le kernel Linux principal depuis la version 5.6 (mars 2020), donc apt n'installe que les outils en espace utilisateur (wg, wg-quick) — aucune compilation de module, pas de DKMS, pas de reconstruction du kernel. Le paquet qrencode sera utile à l'étape 5 pour envoyer la configuration client vers un téléphone sous forme de QR.
Activez le transfert IP maintenant pour ne pas l'oublier à l'étape 4 :
echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
echo "net.ipv6.conf.all.forwarding=1" >> /etc/sysctl.conf
sysctl -p
Générez les clés, rédigez wg0.conf. Deux minutes.
Générez une paire de clés serveur :
cd /etc/wireguard
umask 077
wg genkey | tee server_private.key | wg pubkey > server_public.key
Générez maintenant une paire de clés client par appareil :
wg genkey | tee laptop_private.key | wg pubkey > laptop_public.key
wg genkey | tee phone_private.key | wg pubkey > phone_public.key
Créez /etc/wireguard/wg0.conf avec les paramètres du serveur + un bloc [Peer] par client :
[Interface]
PrivateKey = <contents of server_private.key>
Address = 10.66.66.1/24, fd00:66::1/64
ListenPort = 51820
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
[Peer]
# laptop
PublicKey = <contents of laptop_public.key>
AllowedIPs = 10.66.66.2/32
[Peer]
# phone
PublicKey = <contents of phone_public.key>
AllowedIPs = 10.66.66.3/32
Ouvrez UDP 51820. Verrouillez le reste.
Si vous utilisez UFW (par défaut sur Ubuntu) :
ufw default deny incoming
ufw default allow outgoing
ufw allow 22/tcp # SSH (consider port-knocking or VPN-only in production)
ufw allow 51820/udp # WireGuard
ufw enable
Les bastions NordBastion disposent également d'un pare-feu en amont géré depuis le panneau — vous pouvez y répliquer les mêmes règles pour une défense en profondeur. Le pare-feu au niveau du bastion bloque avant que le paquet n'atteigne le VPS, ce qui économise du CPU sur le scanning volumétrique.
Un conseil de confidentialité à suivre : changez le ListenPort WireGuard de 51820 (la valeur par défaut que recherchent les scanners) vers un port aléatoire entre 1024 et 65535. Cela n'améliore pas la sécurité contre un adversaire déterminé, mais réduit le bruit des scanners aléatoires.
Montez le tunnel. Premier client connecté en secondes.
Sur le serveur :
systemctl enable --now wg-quick@wg0
wg # status: should show interface up
Construisez une configuration client (laptop.conf) sur le serveur, puis copiez-la sur le portable :
[Interface]
PrivateKey = <contents of laptop_private.key>
Address = 10.66.66.2/24, fd00:66::2/64
DNS = 1.1.1.1, 9.9.9.9 # or your favourite privacy resolver
[Peer]
PublicKey = <contents of server_public.key>
Endpoint = <server-ip>:51820
AllowedIPs = 0.0.0.0/0, ::/0
PersistentKeepalive = 25
Pour mobile, canalisez la configuration via qrencode et scannez avec l'application WireGuard :
qrencode -t ansiutf8 < phone.conf
C'est tout. Le client se connecte, le tunnel s'établit, et l'ordinateur portable / téléphone accède maintenant à Internet via le bastion nordique. Vérifiez avec : curl https://api.ipify.org — l'IP retournée est l'IP publique du VPS, pas celle de votre domicile.
Questions, réponses.
Huit questions qu'un client VPN auto-hébergé pour la première fois pose.
Pourquoi auto-héberger un VPN WireGuard plutôt que d'utiliser NordVPN / Mullvad / ProtonVPN ?
Trois raisons concrètes. (1) La chaîne de confiance se réduit. Un VPN commercial, c'est « faire confiance à cette entreprise pour ne pas vous journaliser » ; un VPN auto-hébergé, c'est « faire confiance à ce fournisseur VPS pour ne pas vous journaliser » — un intermédiaire de moins. (2) Le point de sortie VPN vous appartient. Les IP de sortie des VPN commerciaux sont partagées entre des milliers d'utilisateurs et bloquées par de nombreux services ; votre endpoint auto-hébergé est une IP fraîche que personne n'a signalée. (3) Le coût. Un NordBastion Sentinel est à 5,90 $/mois et fait tourner un VPN à bande passante illimitée ; les VPN commerciaux coûtent 5 à 15 $/mois pour une infrastructure partagée.
Pourquoi WireGuard plutôt qu'OpenVPN ?
WireGuard est plus petit (4 000 lignes de code kernel contre ~100 000 pour OpenVPN), plus rapide (souvent 3 à 5 fois plus de débit sur le même matériel), plus simple à configurer (un seul fichier de configuration plutôt que le câblage CA/cert/dhparam), et favorable aux audits. Il est dans le kernel Linux principal depuis la version 5.6 (2020), donc aucune étape de compilation. OpenVPN reste utile pour la compatibilité legacy et le trafic TCP ; pour tout le reste, WireGuard est le standard moderne.
Mon FAI sait-il que je fais tourner un VPN ?
Votre FAI voit du trafic UDP chiffré sur le port 51820 à destination d'une IP NordBastion. Ce schéma est reconnaissable comme du trafic VPN ; ce qui se trouve de l'autre côté ne l'est pas. Si « utiliser un VPN » est sensible dans votre contexte, faites tourner WireGuard sur le port 443 (il parle UDP et non TCP, mais le port est le même que HTTPS), et envisagez un wrapper d'obfuscation comme udp2raw si votre FAI bloque activement les handshakes WireGuard.
Puis-je utiliser le VPS comme VPN ET serveur pour d'autres choses ?
Oui, schéma courant. Le VPS fait tourner WireGuard plus tout ce dont vous avez besoin — un site personnel, un nœud Bitcoin, une instance Mastodon. Les règles de pare-feu maintiennent le trafic VPN et les services orientés public isolés ; iptables/nft peut router les clients VPN vers des services locaux spécifiques et pas vers d'autres.
Qu'en est-il de la géolocalisation IP — les sites penseront-ils que je suis en Suède ?
Oui — votre IP de sortie est le bastion NordBastion que vous avez choisi. Les services de streaming qui géo-filtrent par IP vous traiteront comme suédois (bastion Stockholm), finlandais (Helsinki), norvégien (Oslo) ou islandais (Reykjavík). Les sites bancaires qui signalent « connexion depuis un nouveau pays » déclencheront leurs règles anti-fraude ; c'est un comportement normal, pas un problème VPN.
Combien de clients un serveur WireGuard peut-il gérer ?
Pratiquement illimité pour un usage personnel. Chaque pair ajoute quelques Ko de mémoire. La contrainte est la bande passante et le lien montant du bastion, pas le démon WireGuard lui-même. Le niveau Sentinel avec une bande passante illimitée et un lien montant 1 Gbps sera saturé bien avant que le processus WireGuard ne le remarque.
Dois-je l'exécuter sur un VPS dédié ou le partager avec d'autres charges de travail ?
Un VPS dédié est plus propre du point de vue de l'OPSEC — la seule chose associée à l'IP est « mon VPN personnel ». Si vous mélangez les charges de travail, le trafic VPN et le trafic de l'autre charge partagent une IP sortante, et tout problème de réputation de l'un se répercute sur l'autre. Pour 5,90 $/mois, il est raisonnable de les séparer.
Le WireGuard auto-hébergé est-il capable de coupe-circuit ?
Oui, côté client. Les configurations WireGuard prennent en charge un bloc PostUp / PostDown où vous ajoutez des règles iptables qui rejettent le trafic non-VPN quand le tunnel est actif ; vous pouvez également configurer l'OS client pour refuser par défaut les connexions non-VPN. Plusieurs applications de gestion open-source (wg-easy, WireGuard-UI, Pi-VPN) s'occupent de cela pour vous.
Commandez un Sentinel et démarrez votre propre VPN.
Dernière révision · 2026-05-20 · Testé · Debian 12 · WireGuard 1.0.20210914
Anonymous VPS hosting in 2026 — the cluster.
This guide is one spoke of a larger series. The pillar walks the three privacy layers end to end — the sibling spokes below dive into the specifics.
Three independent layers — signup, payment, network — explained, legal context included, common mistakes flagged.
A v3 .onion address that survives reboots and IP changes.
What “no KYC” actually means — and what it does not.
Why Sweden, Finland, Norway and Iceland — the legal floor of each.
XMR end-to-end — wallet, transfer, confirmations, change.