Una VPN commerciale sposta il problema di fiducia di un provider di lato. Auto-ospitare WireGuard su un VPS nordico senza KYC sostituisce la fiducia con aritmetica — le sue chiavi, la sua macchina, il suo IP di uscita e nessun addebito ricorrente su carta di credito.
WireGuard nativo nel kernel a latenza sub-millisecondo — nessun bridge in userspace, nessun collo di bottiglia TUN, diversi gigabit di testo in chiaro per core.
IP di uscita nordici di cui i suoi dispositivi possono davvero fidarsi — Stoccolma, Helsinki, Oslo o Reykjavík, giurisdizioni senza mandato di conservazione dei dati per gli hoster.
Costruito su un VPS da $5,90/mese che non deve a nessuno un'identità — pagato in Bitcoin o Monero, nessuna carta registrata, nessun addebito automatico ricorrente.
Un provider VPN commerciale le vende una promessa: «non logghiamo». Verifica quella promessa leggendo il loro sito marketing, il loro ultimo audit (se ce n'è stato uno) e confidando che né l'azienda né la sua casa madre siano cambiati di mano. La promessa è non verificabile dall'esterno — l'unica entità che può confermare «nessun log» è quella che ha tutto da perdere ad ammettere il contrario.
Un server WireGuard auto-ospitato sostituisce la promessa con la struttura. Lei installa il daemon, lei genera le chiavi, lei scrive la lista dei peer. Le chiavi non lasciano mai la macchina. Non c'è un provider a monte che possa loggare nulla perché non c'è un provider a monte — c'è un modulo del kernel Linux e un singolo file di config.
Il compromesso è operativo. Lei diventa l'on-call. Se il VPS si riavvia e la sua unità wg0 non è abilitata-al-boot, il suo tunnel non torna senza di lei. Se un aggiornamento del kernel cambia un default di sysctl, lo debugga lei. Per una persona e una manciata di dispositivi è un setup di 90 minuti e ~10 minuti al trimestre di manutenzione; per una famiglia di cinque o un piccolo team, la matematica resta a suo favore.
La domanda giusta non è «auto-ospitare o commerciale» in astratto — è «mi fido di me stesso con una chiave SSH più di quanto mi fidi di una pagina marketing». Se la risposta è sì, il resto di questa pagina è la ricetta.
Per una VPN personale — il suo laptop, il suo telefono, un tablet, un paio di dispositivi sempre in tunnel — il punto ottimale è il Sentinel ($5,90/mese, 2 vCPU, 4 GB). Il data path in-kernel di WireGuard è così leggero che la CPU non è il vincolo; il vincolo è l'uplink non misurato da 1 Gbps, che è generoso per una singola famiglia.
Cinque o più dispositivi sul tunnel, un partner o famiglia che vive anch'essa dietro di esso, o un caso d'uso che spinge volume di download serio (un homelab che recupera backup, un client torrent che vive nel tunnel) — è allora che il Garrison ($11,90/mese, 4 vCPU, 8 GB) guadagna il suo posto. La RAM extra non è per WireGuard — è per qualunque altra cosa inevitabilmente co-ospiterà sulla stessa macchina (un Pi-hole, un piccolo Mastodon, un Uptime-Kuma).
Un piccolo team — 10-25 peer, road-warrior persistenti, un link site-to-site verso un homelab — vuole il Ravelin ($23,90/mese, 8 vCPU, 16 GB). Oltre, il collo di bottiglia smette di essere il VPS e inizia a essere l'uplink stesso da 1 Gbps, e la mossa giusta è fare l'upgrade della regione bastione o dividere in due gateway regionali.
Ciò che nessuna di queste è: un concentratore aziendale a mille peer. NordBastion è costruito per un operatore con i propri dispositivi e persone che conosce davvero — non per vendere abbonamenti a sconosciuti.
A skeleton sketch — the full step-by-step guide covers the firewall, the per-device QR codes, and the kill-switch reading list.
Immagine Debian/Ubuntu, pre-caricata su ogni VPS NordBastion. Una sola riga apt, nessun repo aggiuntivo.
# sul VPS, come rootapt install wireguardUna chiave privata per il server, una per ciascun peer. La chiave privata non lascia mai la macchina che la possiede.
wg genkey | tee privkey \
| wg pubkey > pubkeyLa stanza dell'interfaccia: chiave privata del server, listen port 51820 e la sottorete tunnel 10.66.66.0/24 che distribuirà ai peer.
nano /etc/wireguard/wg0.conf
# [Interface] Address, PrivateKey,
# ListenPort, PostUp NAT rulesUnità systemd inclusa con il pacchetto. Sopravvive a reboot e cicli di rescue avviati dal pannello.
systemctl enable \
--now wg-quick@wg0Un blocco [Peer] per dispositivo, con la chiave pubblica di quel dispositivo e il suo IP tunnel assegnato. Live-reload, nessun restart necessario.
wg set wg0 peer <PUBKEY> \
allowed-ips 10.66.66.2/32La iscriviamo con email + password, lei ricarica in Bitcoin o Monero, lei avvia un VPS. Non c'è un emittente di carta di credito in mezzo che abbia fatto KYC su di lei, nessun PSP che incroci la sua identità di billing con l'IP che ha appena acceso. La macchina appartiene a «il saldo prepagato sotto questa email», e quello è il fine del collegamento.
Svezia, Finlandia, Norvegia e Islanda non hanno mandato di conservazione dei dati per gli hoster — non c'è equivalente di un UK Investigatory Powers Act che ci chieda di tenere i log di connessione «per ogni evenienza». Sopra quel pavimento giuridico pubblichiamo un warrant canary mensile firmato PGP e un report di trasparenza aggiornato in continuo; l'assenza di log è verificabile, non solo dichiarata.
Nessun cap di trasferimento, nessuna riga di eccedenza di banda, nessun tetto fair-use strisciante. Il Sentinel offre lo stesso uplink da 1 Gbps delle fasce dedicate — il che significa che il throughput della sua VPN è limitato dal data path nel kernel di WireGuard (diversi Gbps per core) e dal peering upstream, non dal foglio di calcolo di un contabile.
Auto-ospitare una VPN WireGuard è una delle cose a più alta leva che si possano fare su un piccolo VPS. Al prezzo di un singolo abbonamento VPN commerciale ottiene una macchina Linux nordica general-purpose che per giunta espone un tunnel cifrato a velocità del kernel per ogni dispositivo che possiede.
NordBastion ha opinioni sulle parti che contano per questo compito specifico — signup senza KYC, fatturazione solo cripto, giurisdizione nordica, uplink non misurato — ed è deliberatamente ordinario sul resto. Il VPS è un VPS. Il kernel è un kernel. WireGuard gira nello stesso modo in cui girerebbe altrove; ciò che differisce è chi può fare domande educate su chi sta dall'altro lato.
If you are coming from a commercial VPN, the migration is one afternoon. If you are starting from scratch, the step-by-step guide picks up where this editorial leaves off.
Le otto domande che gli operatori pongono realmente prima di tirare su la propria VPN WireGuard su un VPS nordico.
Una VPN commerciale sposta il problema di fiducia di un passo di lato: invece di fidarsi del suo ISP, si fida del provider VPN affinché non logghi, non sia sottoposto a citazione e non venga acquistato da una società che lo farà. L'auto-hosting su un VPS nordico senza KYC sostituisce quella fiducia con aritmetica — l'unica persona con shell sulla macchina è lei, l'unica persona che paga per la macchina è lei e l'host (NordBastion) non sa nemmeno chi sia quel «lei» in primo luogo. Il compromesso è che lei diventa l'operatore: quando si rompe alle 23 di domenica, la rotazione on-call è profonda una persona.
Comodamente. WireGuard gira nel kernel Linux, il che significa che un singolo core Sentinel (Intel Xeon, boost 3,4 GHz) può cifrare e inoltrare nell'ordine di 5-8 Gbps di testo in chiaro a velocità di linea prima che la CPU diventi il collo di bottiglia. Cinque dispositivi concorrenti, anche tutti in streaming 4K, non si registreranno nel load average. La ragione per fare upgrade non è il throughput — è se il VPS sta anche ospitando qualcos'altro (un Pi-hole, un media server, un server Matrix) che vuole i core per sé.
Sì — Netflix e una manciata di servizi di streaming applicano geofencing per ASN, e «questo IP appartiene a una rete di hosting» basta a reindirizzarla al catalogo regionale o al 403 captive. Le banche sono più sfumate: la maggior parte accetta la connessione ma alza il fraud-score e può innescare una richiesta MFA di step-up. Se il compito della sua VPN è privacy + egress nordico per navigazione e lavoro, questo è invisibile per lei. Se il suo compito è Netflix-US, un VPS auto-ospitato non lo risolverà — nessuna VPN commerciale lo risolve in modo affidabile; il gioco del gatto col topo si muove più velocemente di qualsiasi pipeline di deploy.
Obbligatorio, e non è compito del VPS. Lo configuri lato client: su Linux/Android gli hook firewall post-up di wg-quick (o una semplice regola iptables/nftables che neghi il traffico di default-route che non esce da wg0); su iOS/macOS l'app WireGuard ufficiale espone «On-Demand» + «Exclude routes»; su Windows il client ufficiale ha un toggle «Block untunneled traffic (kill-switch)». Il VPS detiene le chiavi e inoltra i pacchetti; rifiutare di fare leak quando il tunnel è giù è compito del client.
Un Sentinel a $5,90/mese è grosso modo lo stesso costo mensile di un abbonamento VPN commerciale (NordVPN, Mullvad, IVPN sono tutti nella fascia $5-12/mese). Ciò che cambia è la superficie: ottiene un IP di uscita nordico anziché 50 paesi, e ottiene una macchina Linux general-purpose completa anziché solo un endpoint di tunnel. Se la sua unica necessità è «apparire da un altro paese per bypassare un geoblocco», commerciale è lo strumento giusto. Se vuole una VPN privata che faccia anche da jump-host, monitoring box e Pi-hole personale, vince il VPS.
No — e questo è strutturale, non una promessa. WireGuard avvolge ogni pacchetto IP in una busta ChaCha20-Poly1305 chiavata sulla sua chiave privata, che non lascia mai il suo VPS. NordBastion vede la stessa cosa che il suo ISP vede sul suo uplink: UDP cifrato tra due IP. Non c'è un punto di decifratura in linea, nessun piano di servizio managed-VPN, nessun key-escrow. Il warrant canary e il report di trasparenza pubblicato descrivono cosa accadrebbe se qualcuno provasse a farci decifrarlo (non possiamo).
Sì, ed è un pattern comune: WireGuard ascolta su UDP/51820 come suo punto di ingresso, il VPS instrada il traffico selezionato in un Tor SOCKS5 locale (porta 9050) per i carichi di lavoro a uscita onion, e tutto il resto esce attraverso il normale IP nordico. Il Sentinel è sufficiente; l'unica nota operativa è di dare a Tor la propria unità systemd e rate-limit affinché il throughput VPN non sia divorato dalle raffiche di circuiti Tor. La fascia Garrison ($11,90/mese, 4 vCPU/8 GB) è la casa comoda per questa combinazione.
NordBastion è solo nordico per dottrina — Stoccolma, Helsinki, Oslo, Reykjavík. Se il caso d'uso richiede «appare da Singapore» o «appare dal Brasile», un VPS NordBastion è lo strumento sbagliato per quella specifica uscita. La maggior parte delle persone che arrivano qui vogliono l'opposto — un'uscita nordica stabile, ben peerata e a bassa pressione di log — ed è esattamente ciò per cui la piattaforma è ottimizzata.