VPN komersial memindahkan masalah kepercayaan satu langkah ke samping. Self-hosting WireGuard di VPS Nordic bebas-KYC menggantikan kepercayaan dengan aritmetika — kunci Anda, kotak Anda, IP keluar Anda, dan tidak ada biaya kartu kredit berulang siapa pun.
WireGuard native kernel sub-milidetik — tanpa jembatan userspace, tanpa bottleneck TUN, beberapa gigabit plaintext per inti.
IP keluar Nordic yang benar-benar dapat dipercaya perangkat Anda — Stockholm, Helsinki, Oslo, atau Reykjavík, yurisdiksi tanpa mandat penyimpanan data untuk penyedia hosting.
Dibangun di atas VPS $5,90/bln yang tidak berutang identitas kepada siapa pun — dibayar dengan Bitcoin atau Monero, tidak ada kartu tersimpan, tidak ada tagihan otomatis berulang.
Penyedia VPN komersial menjual janji kepada Anda: "kami tidak menyimpan log". Anda memverifikasi janji itu dengan membaca situs pemasaran mereka, audit terakhir mereka (jika ada), dan mempercayai bahwa baik perusahaan maupun induknya belum berganti kepemilikan sejak saat itu. Janji tersebut tidak dapat diverifikasi dari luar — satu-satunya entitas yang dapat mengkonfirmasi "tanpa log" adalah yang paling merugi jika mengakui sebaliknya.
Server WireGuard yang di-self-host menggantikan janji dengan struktur. Anda menginstal daemon, Anda menghasilkan kunci, Anda menulis daftar peer. Kunci-kunci tidak pernah meninggalkan kotak. Tidak ada penyedia hulu yang mencatat apa pun karena tidak ada penyedia hulu — hanya ada modul kernel Linux dan satu file konfigurasi.
Trade-offnya bersifat operasional. Anda menjadi on-call. Jika VPS melakukan reboot dan unit wg0 Anda tidak diaktifkan saat boot, terowongan Anda tidak kembali tanpa Anda. Jika pembaruan kernel mengubah default sysctl, Anda yang men-debugnya. Untuk satu orang dan beberapa perangkat ini adalah pengaturan 90 menit dan ~10 menit pemeliharaan per kuartal; untuk keluarga lima orang atau tim kecil, perhitungannya masih menguntungkan Anda.
Pertanyaan yang tepat bukan "self-host atau komersial" secara abstrak — melainkan "apakah saya mempercayai diri sendiri dengan kunci SSH lebih dari saya mempercayai halaman pemasaran". Jika jawabannya ya, sisa halaman ini adalah resepnya.
Untuk VPN pribadi — laptop Anda, ponsel Anda, tablet, beberapa perangkat yang selalu ditunelkan — Sentinel ($5,90/bln, 2 vCPU, 4 GB) adalah pilihan terbaik. Jalur data in-kernel WireGuard sangat ringan sehingga CPU bukan kendalanya; kendalanya adalah uplink 1 Gbps tanpa batas, yang sangat murah hati untuk satu rumah tangga.
Lima perangkat atau lebih di tunnel, mitra atau keluarga yang juga berada di baliknya, atau kasus penggunaan yang mendorong volume unduhan serius (homelab yang menarik cadangan, klien torrent yang hidup di tunnel) — itulah saat Garrison ($11,90/bln, 4 vCPU, 8 GB) terbukti nilainya. RAM ekstra bukan untuk WireGuard — melainkan untuk apa pun yang akan Anda co-host di kotak yang sama (Pi-hole, Mastodon kecil, Uptime-Kuma).
Tim kecil — 10–25 peer, road-warrior tetap, tautan site-to-site ke homelab — menginginkan Ravelin ($23,90/bln, 8 vCPU, 16 GB). Di luar itu, bottleneck bukan lagi VPS melainkan uplink 1 Gbps itu sendiri, dan langkah yang tepat adalah meningkatkan wilayah bastion atau membaginya menjadi dua gateway regional.
Apa yang tidak ada di antaranya: konsentrator korporat ribuan peer. NordBastion dibangun untuk satu operator dengan perangkat mereka sendiri dan orang-orang yang mereka kenal — bukan untuk menjual langganan kepada orang asing.
A skeleton sketch — the full step-by-step guide covers the firewall, the per-device QR codes, and the kill-switch reading list.
Image Debian/Ubuntu, sudah terpasang di setiap VPS NordBastion. Satu baris apt, tanpa repo tambahan.
# pada VPS, sebagai rootapt install wireguardKunci pribadi untuk server, satu per peer. Kunci pribadi tidak pernah meninggalkan kotak yang memilikinya.
wg genkey | tee privkey \
| wg pubkey > pubkeyStanza antarmuka: kunci privat server, port dengarkan 51820, dan subnet terowongan 10.66.66.0/24 yang akan Anda bagikan kepada peer.
nano /etc/wireguard/wg0.conf
# [Interface] Address, PrivateKey,
# ListenPort, PostUp NAT rulesUnit Systemd disertakan dengan paket. Bertahan dari reboot dan siklus penyelamatan yang diinisiasi panel.
systemctl enable \
--now wg-quick@wg0Satu blok [Peer] per perangkat, dengan kunci publik perangkat tersebut dan IP terowongan yang ditetapkan. Muat ulang langsung, tidak perlu restart.
wg set wg0 peer <PUBKEY> \
allowed-ips 10.66.66.2/32Kami mendaftarkan Anda dengan email + kata sandi, Anda mengisi ulang saldo dengan Bitcoin atau Monero, Anda menjalankan VPS. Tidak ada penerbit kartu kredit di tengah yang telah melakukan KYC pada Anda, tidak ada PSP yang membandingkan identitas penagihan Anda dengan IP yang baru saja Anda aktifkan. Server itu milik "saldo prabayar di bawah email ini", dan itulah akhir dari keterkaitan tersebut.
Sweden, Finland, Norway, dan Iceland tidak memiliki mandat penyimpanan data untuk penyedia hosting — tidak ada padanan Investigatory Powers Act Inggris yang meminta kami menyimpan log koneksi "untuk berjaga-jaga". Di atas dasar hukum tersebut kami menerbitkan warrant canary bertanda tangan PGP bulanan dan laporan transparansi bergulir; ketiadaan log dapat diaudit, bukan sekadar klaim.
Tidak ada batas transfer, tidak ada baris kelebihan bandwidth, tidak ada batas fair-use yang merayap. Sentinel dilengkapi uplink 1 Gbps yang sama dengan tier dedicated — yang berarti throughput VPN Anda dibatasi oleh jalur data kernel WireGuard (beberapa Gbps per inti) dan peering upstream, bukan oleh spreadsheet akuntan.
Self-hosting VPN WireGuard adalah salah satu hal dengan leverage tertinggi yang dapat Anda lakukan pada VPS kecil. Dengan harga satu langganan VPN komersial Anda mendapatkan kotak Linux Nordic serbaguna yang juga kebetulan memperlihatkan terowongan terenkripsi berkecepatan kernel untuk setiap perangkat yang Anda miliki.
NordBastion berpendapat kuat tentang bagian-bagian yang penting untuk pekerjaan spesifik ini — pendaftaran bebas KYC, penagihan khusus kripto, yurisdiksi Nordic, uplink tak terukur — dan sengaja biasa-biasa saja tentang yang lainnya. VPS adalah VPS. Kernel adalah kernel. WireGuard berjalan dengan cara yang sama seperti di tempat lain; yang berbeda adalah siapa yang dapat mengajukan pertanyaan sopan tentang siapa yang ada di ujung lainnya.
If you are coming from a commercial VPN, the migration is one afternoon. If you are starting from scratch, the step-by-step guide picks up where this editorial leaves off.
Delapan pertanyaan yang sebenarnya ditanyakan operator sebelum mendirikan VPN WireGuard mereka sendiri di VPS Nordic.
VPN komersial memindahkan masalah kepercayaan satu langkah ke samping: alih-alih mempercayai ISP Anda, Anda mempercayai penyedia VPN untuk tidak mencatat log, tidak menerima panggilan pengadilan, dan tidak diakuisisi oleh perusahaan yang akan melakukan itu. Self-hosting di VPS Nordic bebas-KYC menggantikan kepercayaan itu dengan aritmetika — satu-satunya orang yang memiliki akses shell ke kotak adalah Anda, satu-satunya orang yang membayar kotak adalah Anda, dan host (NordBastion) tidak mengetahui siapa "Anda" sejak awal. Trade-off-nya adalah Anda menjadi operator: ketika rusak pada pukul 23:00 di hari Minggu, jadwal on-call hanya satu orang.
Dengan nyaman. WireGuard berjalan di kernel Linux, artinya satu inti Sentinel (Intel Xeon, boost 3,4 GHz) dapat mengenkripsi dan meneruskan sekitar 5–8 Gbps teks biasa pada kecepatan penuh sebelum CPU menjadi bottleneck. Lima perangkat bersamaan, bahkan semua streaming 4K, tidak akan terasa di load average. Alasan untuk meningkatkan bukan throughput — melainkan apakah VPS juga menghosting sesuatu yang lain (Pi-hole, server media, server Matrix) yang membutuhkan inti tersebut untuk dirinya sendiri.
Ya — Netflix dan beberapa layanan streaming melakukan geofencing berdasarkan ASN, dan "IP ini milik jaringan hosting" sudah cukup untuk mengarahkan Anda ke katalog regional atau 403 captive. Bank lebih bernuansa: sebagian besar menerima koneksi tetapi meningkatkan skor penipuan dan mungkin memicu prompt MFA step-up. Jika tugas VPN Anda adalah privasi + egress Nordic untuk browsing dan pekerjaan, ini tidak terlihat oleh Anda. Jika tugasnya adalah Netflix-US, VPS yang di-host sendiri tidak akan menyelesaikannya — tidak ada VPN komersial pun yang menyelesaikannya secara andal; kucing-dan-tikus bergerak lebih cepat dari pipeline deploy siapa pun.
Wajib dilakukan, dan bukan tugas VPS. Konfigurasikan sisi klien: di Linux/Android gunakan hook firewall post-up wg-quick (atau aturan iptables/nftables sederhana yang menolak lalu lintas rute default yang tidak keluar melalui wg0); di iOS/macOS aplikasi WireGuard resmi menyediakan opsi "On-Demand" + "Exclude routes"; di Windows klien resmi memiliki tombol "Block untunneled traffic (kill-switch)". VPS menyimpan kunci dan meneruskan paket; mencegah kebocoran saat terowongan mati adalah tugas klien.
Sentinel seharga $5,90/bln kira-kira berbiaya bulanan yang sama dengan langganan VPN komersial (NordVPN, Mullvad, IVPN semuanya berada di kisaran $5–12/bln). Yang berubah adalah cakupannya: Anda mendapatkan satu IP keluar Nordic alih-alih 50 negara, dan Anda mendapatkan kotak Linux serbaguna penuh alih-alih hanya sebuah endpoint tunnel. Jika kebutuhan Anda hanya "tampil dari negara lain untuk melewati geoblok", layanan komersial adalah alat yang tepat. Jika Anda menginginkan VPN pribadi yang sekaligus berfungsi sebagai jump-host, kotak pemantauan, dan Pi-hole pribadi, VPS adalah pemenangnya.
Tidak — dan ini bersifat struktural, bukan janji. WireGuard membungkus setiap paket IP dalam amplop ChaCha20-Poly1305 yang dikunci dengan kunci privat Anda, yang tidak pernah meninggalkan VPS Anda. NordBastion melihat hal yang sama dengan yang dilihat ISP Anda pada uplinknya: UDP terenkripsi antara dua IP. Tidak ada titik dekripsi inline, tidak ada bidang layanan VPN terkelola, tidak ada key-escrow. Warrant canary dan laporan transparansi yang diterbitkan menjelaskan apa yang akan terjadi jika seseorang mencoba membuat kami mendekripsinya (kami tidak bisa).
Ya, dan ini adalah pola yang umum: WireGuard mendengarkan di UDP/51820 sebagai titik masuk Anda, VPS merutekan lalu lintas tertentu ke Tor SOCKS5 lokal (port 9050) untuk beban kerja egress onion, dan sisanya keluar melalui IP Nordic biasa. Sentinel sudah cukup; satu-satunya catatan operasional adalah memberikan Tor unit systemd-nya sendiri dan membatasinya sehingga throughput VPN tidak dikonsumsi oleh lonjakan sirkuit Tor. Tier Garrison ($11,90/bln, 4 vCPU/8 GB) adalah rumah yang nyaman untuk kombinasi ini.
NordBastion adalah Nordic-only berdasarkan doktrin — Stockholm, Helsinki, Oslo, Reykjavík. Jika kasus penggunaan memerlukan "terlihat dari Singapore" atau "terlihat dari Brazil", VPS NordBastion adalah alat yang salah untuk egress spesifik tersebut. Kebanyakan orang yang datang ke sini menginginkan sebaliknya — egress Nordic yang stabil, berpeering baik, dan bertekanan log rendah — dan itulah yang dioptimalkan platform ini.