Un VPN commercial déplace le problème de confiance d'un fournisseur de côté. L'auto-hébergement de WireGuard sur un VPS nordique sans KYC remplace la confiance par de l'arithmétique — vos clés, votre machine, votre IP de sortie, et aucun prélèvement de carte de crédit récurrent.
WireGuard natif noyau sub-milliseconde — pas de pont userspace, pas de goulot TUN, plusieurs gigabits de texte clair par cœur.
IP de sortie nordiques auxquelles vos appareils peuvent réellement faire confiance — Stockholm, Helsinki, Oslo ou Reykjavík, juridictions sans mandat de rétention de données pour les hébergeurs.
Bâti sur un VPS à 5,90 $/mois qui ne doit d'identité à personne — payé en Bitcoin ou Monero, pas de carte enregistrée, pas de prélèvement automatique récurrent.
Un fournisseur VPN commercial vous vend une promesse : « nous ne journalisons pas ». Vous vérifiez cette promesse en lisant leur site marketing, leur dernier audit (s'il y en a eu un), et en faisant confiance au fait que ni l'entreprise ni sa maison-mère n'ont changé de mains depuis. La promesse est invérifiable depuis l'extérieur — la seule entité qui peut confirmer « pas de logs » est celle qui a tout à perdre en admettant le contraire.
Un serveur WireGuard auto-hébergé remplace la promesse par de la structure. Vous installez le démon, vous générez les clés, vous écrivez la liste de pairs. Les clés ne quittent jamais la machine. Il n'y a pas de fournisseur amont pour journaliser quoi que ce soit parce qu'il n'y a pas de fournisseur amont — il y a un module noyau Linux et un seul fichier de config.
Le compromis est opérationnel. Vous devenez l'astreinte. Si le VPS redémarre et que votre unité wg0 n'est pas activée au boot, votre tunnel ne revient pas sans vous. Si une mise à jour de noyau change un défaut sysctl, vous déboguez. Pour une personne et une poignée d'appareils, c'est une installation de 90 minutes et ~10 minutes par trimestre d'entretien ; pour une famille de cinq ou une petite équipe, les maths jouent toujours en votre faveur.
La bonne question n'est pas « auto-héberger ou commercial » dans l'abstrait — c'est « est-ce que je me fais davantage confiance avec une clé SSH qu'à une page marketing ». Si la réponse est oui, le reste de cette page est la recette.
Pour un VPN personnel — votre laptop, votre téléphone, une tablette, deux ou trois appareils toujours tunnélisés — le Sentinel (5,90 $/mois, 2 vCPU, 4 Go) est le point d'équilibre. Le chemin de données in-kernel de WireGuard est si léger que le CPU n'est pas la contrainte ; la contrainte est la liaison non comptée 1 Gbps, généreuse pour un foyer unique.
Cinq appareils ou plus sur le tunnel, un partenaire ou une famille qui vit aussi derrière, ou un cas d'usage qui pousse un volume de téléchargement sérieux (un homelab qui tire des sauvegardes, un client torrent vivant dans le tunnel) — c'est là que le Garrison (11,90 $/mois, 4 vCPU, 8 Go) gagne sa place. La RAM supplémentaire n'est pas pour WireGuard — elle est pour tout le reste que vous co-hébergerez inévitablement sur la même machine (un Pi-hole, un petit Mastodon, un Uptime-Kuma).
Une petite équipe — 10 à 25 pairs, road-warriors persistants, un lien site-à-site vers un homelab — veut le Ravelin (23,90 $/mois, 8 vCPU, 16 Go). Au-delà, le goulot cesse d'être le VPS et devient la liaison 1 Gbps elle-même, et le bon mouvement est de monter la région du bastion ou de scinder en deux passerelles régionales.
Ce qu'aucune de ces options n'est : un concentrateur corporate à mille pairs. NordBastion est bâti pour un opérateur avec ses propres appareils et des gens qu'il connaît réellement — pas pour vendre des abonnements à des étrangers.
A skeleton sketch — the full step-by-step guide covers the firewall, the per-device QR codes, and the kill-switch reading list.
Image Debian/Ubuntu, pré-cuite sur tout VPS NordBastion. Une ligne apt, pas de dépôts supplémentaires.
# sur le VPS, en rootapt install wireguardUne clé privée pour le serveur, une par pair. La clé privée ne quitte jamais la machine qui la possède.
wg genkey | tee privkey \
| wg pubkey > pubkeyLe bloc interface : clé privée du serveur, port d'écoute 51820, et le sous-réseau de tunnel 10.66.66.0/24 que vous distribuerez aux pairs.
nano /etc/wireguard/wg0.conf
# [Interface] Address, PrivateKey,
# ListenPort, PostUp NAT rulesUnité systemd livrée avec le paquet. Survit aux redémarrages et aux cycles de rescue initiés depuis le panneau.
systemctl enable \
--now wg-quick@wg0Un bloc [Peer] par appareil, avec la clé publique de cet appareil et son IP de tunnel allouée. Rechargement à chaud, pas de redémarrage nécessaire.
wg set wg0 peer <PUBKEY> \
allowed-ips 10.66.66.2/32Nous vous inscrivons avec e-mail + mot de passe, vous rechargez en Bitcoin ou Monero, vous démarrez un VPS. Il n'y a pas d'émetteur de carte de crédit au milieu qui a fait du KYC sur vous, pas de PSP croisant votre identité de facturation avec l'IP que vous venez d'allumer. La machine appartient à « le solde prépayé sous cet e-mail », et c'est la fin du lien.
La Suède, la Finlande, la Norvège et l'Islande n'ont pas de mandat de rétention de données pour les hébergeurs — il n'y a pas d'équivalent de l'UK Investigatory Powers Act nous demandant de garder les logs de connexion « au cas où ». Au-dessus de ce plancher juridique, nous publions un warrant canary mensuel signé PGP et un rapport de transparence glissant ; l'absence de logs est auditable, pas seulement revendiquée.
Pas de plafond de transfert, pas de ligne de dépassement de bande passante, pas de plafond fair-use rampant. Le Sentinel livre la même liaison 1 Gbps que les formules dédiées — ce qui signifie que votre débit VPN est borné par le chemin de données noyau de WireGuard (plusieurs Gbps par cœur) et le peering amont, pas par le tableur d'un comptable.
Auto-héberger un VPN WireGuard est l'une des choses à plus haut levier que vous puissiez faire sur un petit VPS. Pour le prix d'un seul abonnement VPN commercial vous obtenez une machine Linux nordique à usage général qui se trouve aussi exposer un tunnel chiffré à la vitesse du noyau pour chaque appareil que vous possédez.
NordBastion a des opinions sur les parties qui comptent pour ce job précis — inscription sans KYC, facturation crypto uniquement, juridiction nordique, liaison non comptée — et est délibérément ordinaire sur le reste. Le VPS est un VPS. Le noyau est un noyau. WireGuard tourne de la même manière qu'ailleurs ; ce qui diffère, c'est qui peut poser des questions polies sur qui est à l'autre bout.
If you are coming from a commercial VPN, the migration is one afternoon. If you are starting from scratch, the step-by-step guide picks up where this editorial leaves off.
Les huit questions que les opérateurs posent réellement avant de monter leur propre VPN WireGuard sur un VPS nordique.
Un VPN commercial déplace le problème de confiance d'un cran de côté : au lieu de faire confiance à votre FAI, vous faites confiance au fournisseur VPN pour ne pas journaliser, ne pas être assigné, et ne pas être racheté par une entreprise qui le fera. L'auto-hébergement sur un VPS nordique sans KYC remplace cette confiance par de l'arithmétique — la seule personne avec un shell sur la machine, c'est vous, la seule personne qui paie la machine, c'est vous, et l'hébergeur (NordBastion) ne sait pas qui est ce « vous » en premier lieu. Le compromis, c'est que vous devenez l'opérateur : quand ça casse à 23 h un dimanche, la rotation d'astreinte fait une personne de profondeur.
Confortablement. WireGuard tourne dans le noyau Linux, ce qui signifie qu'un seul cœur Sentinel (Intel Xeon, 3,4 GHz boost) peut chiffrer et transmettre de l'ordre de 5 à 8 Gbps de texte clair au débit de la ligne avant que le CPU ne devienne le goulot. Cinq appareils concurrents, même tous en streaming 4K, n'apparaîtront pas sur la load average. La raison de monter en gamme n'est pas le débit — c'est de savoir si le VPS héberge aussi autre chose (un Pi-hole, un serveur média, un serveur Matrix) qui veut les cœurs pour lui-même.
Oui — Netflix et une poignée de services de streaming géo-filtrent sur l'ASN, et « cette IP appartient à un réseau d'hébergement » suffit à vous rediriger vers le catalogue régional ou le 403 captif. Les banques sont plus nuancées : la plupart acceptent la connexion mais relèvent le score de fraude et peuvent déclencher une invite MFA renforcée. Si le job de votre VPN est vie privée + sortie nordique pour la navigation et le travail, cela vous est invisible. Si son job est Netflix-US, un VPS auto-hébergé ne résoudra pas cela — aucun VPN commercial ne le résout fiablement non plus ; le chat-et-souris bouge plus vite que le pipeline de déploiement de qui que ce soit.
Obligatoire, et ce n'est pas le job du VPS. Configurez le côté client : sur Linux/Android les hooks post-up firewall de wg-quick (ou une simple règle iptables/nftables refusant le trafic default-route qui ne sort pas par wg0) ; sur iOS/macOS l'application WireGuard officielle expose « On-Demand » + « Exclude routes » ; sur Windows le client officiel a une bascule « Block untunneled traffic (kill-switch) ». Le VPS détient les clés et transmet les paquets ; refuser de fuir quand le tunnel est down est le job du client.
Un Sentinel à 5,90 $/mois est environ le même coût mensuel qu'un abonnement VPN commercial (NordVPN, Mullvad, IVPN sont tous dans la fourchette 5–12 $/mois). Ce qui change, c'est la surface : vous obtenez une IP de sortie nordique unique plutôt que 50 pays, et vous obtenez une machine Linux complète à usage général plutôt qu'un seul endpoint de tunnel. Si votre seul besoin est « apparaître depuis un autre pays pour contourner un géo-blocage », le commercial est le bon outil. Si vous voulez un VPN privé qui sert aussi de jump-host, machine de monitoring et Pi-hole personnel, le VPS gagne.
Non — et c'est structurel, pas une promesse. WireGuard enveloppe chaque paquet IP dans une enveloppe ChaCha20-Poly1305 indexée sur votre clé privée, qui ne quitte jamais votre VPS. NordBastion voit la même chose que votre FAI sur sa liaison : de l'UDP chiffré entre deux IP. Il n'y a pas de point de déchiffrement en ligne, pas de plan de service VPN managé, pas de séquestre de clé. Le warrant canary et le rapport de transparence publié décrivent ce qui se passerait si quelqu'un essayait de nous le faire déchiffrer (nous ne pouvons pas).
Oui, et c'est un schéma courant : WireGuard écoute sur UDP/51820 comme point d'entrée, le VPS route le trafic sélectionné dans un SOCKS5 Tor local (port 9050) pour les charges de sortie onion, et tout le reste sort via l'IP nordique régulière. Le Sentinel suffit ; la seule note opérationnelle est de donner à Tor sa propre unité systemd et de la rate-limiter pour que le débit VPN ne soit pas dévoré par les rafales de circuit Tor. La formule Garrison (11,90 $/mois, 4 vCPU/8 Go) est le foyer confortable pour cette combinaison.
NordBastion est nordique uniquement par doctrine — Stockholm, Helsinki, Oslo, Reykjavík. Si le cas d'usage exige « apparaît depuis Singapour » ou « apparaît depuis le Brésil », un VPS NordBastion est le mauvais outil pour cette sortie précise. La plupart des gens qui atterrissent ici veulent l'opposé — une sortie nordique stable, bien peerée, à faible pression de logs — et c'est exactement ce pour quoi la plateforme est optimisée.