構図: 戦術的な北欧の鎧をまとった NordBastion のホッキョクグマのマスコットが前景に立ち、その後ろに北欧フィヨルドの夜に後退する輝くシアンに照らされた WireGuard 光のトンネル、頭上にオーロラ、トンネルの遠端に単一の要塞のシルエット
ユースケース・VPN サーバー · 2026年更新

自分の WireGuard VPN 用 VPS。
カーネル高速、北欧で保持、暗号通貨で課金。

商用 VPN は信頼の問題を 1 つのプロバイダー横にずらします。KYC なしの北欧 VPS で WireGuard をセルフホストすることは、信頼を算術に置き換えます ── あなたの鍵、あなたのボックス、あなたの出口 IP、誰の繰り返しのクレジットカード課金もなし。

適切なティアを選ぶ 5 行でのセットアップへ移動
要点
  • 01

    サブミリ秒のカーネルネイティブ WireGuard ── ユーザースペースブリッジなし、TUN ボトルネックなし、コアあたり数ギガビットの平文。

  • 02

    デバイスが実際に信頼できる北欧出口 IP ── ストックホルム、ヘルシンキ、オスロ、レイキャビク、ホスターのデータ保持義務のない管轄。

  • 03

    誰にもアイデンティティを負わない月額 $5.90 の VPS 上に構築 ── Bitcoin または Monero で支払い、登録カードなし、繰り返しの自動課金なし。

なぜわざわざ?

なぜ そもそも VPN をセルフホストするのか。

商用 VPN プロバイダーはあなたに「ログを取らない」という約束を売ります。あなたはマーケティングサイト、最後の監査(もしあれば)を読み、その後に会社やその親会社が買収されていないと信頼することでその約束を検証します。約束は外部からは検証不可能です ──「ログなし」を確認できる唯一のエンティティは、そうでないと認めることですべてを失うものです。

セルフホストの WireGuard サーバーは約束を構造に置き換えます。あなたはデーモンをインストールし、鍵を生成し、ピアリストを書きます。鍵はボックスから決して離れません。何かをログする上流プロバイダーがないのは、上流プロバイダーがないからです ── Linux カーネルモジュールと単一の構成ファイルがあるだけです。

トレードオフは運用上のものです。あなたがオンコールになります。VPS が再起動し、wg0 ユニットがブート時に有効化されていなければ、あなたなしでトンネルは戻りません。カーネル更新が sysctl デフォルトを変更すれば、あなたがデバッグします。1 人と少数のデバイスでは、これは 90 分のセットアップと四半期に約 10 分のメンテナンスです。5 人家族や小さなチームでも、計算はあなたに有利に働きます。

正しい問いは抽象的な「セルフホストか商用か」ではなく ── 「マーケティングページよりも SSH 鍵を持つ自分をより信頼するか」です。答えが「はい」なら、このページの残りはそのレシピです。

サイジング

仕事に適した NordBastion ティア。

個人 VPN ── ノート PC、スマートフォン、タブレット、常にトンネル化された 2 つのデバイス ── には、Sentinel(月額 $5.90、2 vCPU、4 GB)がスイートスポットです。WireGuard のカーネル内データパスは非常に軽量で、CPU は制約ではありません。制約は 1 Gbps の無制限アップリンクで、これは単一世帯には寛大です。

トンネル上の 5 つ以上のデバイス、その背後に住むパートナーや家族、または重大なダウンロードボリュームをプッシュするユースケース(バックアップを引っ張るホームラボ、トンネル内に住むトレントクライアント)── そのとき Garrison(月額 $11.90、4 vCPU、8 GB)が稼ぎを果たします。追加の RAM は WireGuard 用ではありません ── それは、あなたが必然的に同じボックスに共ホストするであろう他のもの(Pi-hole、小さな Mastodon、Uptime-Kuma)のためです。

小さなチーム ── 10〜25 ピア、持続的なロードウォリアー、ホームラボへのサイト間リンク ── は Ravelin(月額 $23.90、8 vCPU、16 GB)を望みます。それを超えると、ボトルネックは VPS ではなく 1 Gbps アップリンク自体になり、正しい動きはバスティオンリージョンをアップグレードするか、2 つの地域ゲートウェイに分割することです。

これらのいずれでもないもの: 千ピアの企業コンセントレータ。NordBastion は、自分のデバイスと実際に知っている人々を持つ 1 人の運営者向けに構築されており、見知らぬ人にサブスクリプションを販売するためのものではありません。

セットアップ

新規 VPS から最初のハンドシェイクまで。5 行、約 10 分。

A skeleton sketch — the full step-by-step guide covers the firewall, the per-device QR codes, and the kill-switch reading list.

  1. 01

    WireGuard をインストール

    Debian/Ubuntu イメージ、すべての NordBastion VPS にプリベイク。1 つの apt 行、追加のリポジトリなし。

    # VPS 上、root としてapt install wireguard
  2. 02

    鍵を生成

    サーバー用の秘密鍵、ピアごとに 1 つ。秘密鍵はそれを所有するボックスから決して離れません。

    wg genkey | tee privkey \
  | wg pubkey > pubkey
  3. 03

    wg0.conf を書く

    インターフェース節: サーバー秘密鍵、リッスンポート 51820、そしてピアに割り当てる 10.66.66.0/24 トンネルサブネット。

    nano /etc/wireguard/wg0.conf
# [Interface] Address, PrivateKey,
# ListenPort, PostUp NAT rules
  4. 04

    ブート時に有効化

    パッケージに同梱の systemd ユニット。再起動とパネル発のレスキューサイクルを生き残ります。

    systemctl enable \
  --now wg-quick@wg0
  5. 05

    ピアを追加

    デバイスごとに 1 つの [Peer] ブロック、そのデバイスの公開鍵と割り当てられたトンネル IP 付き。ライブリロード、再起動不要。

    wg set wg0 peer <PUBKEY> \
  allowed-ips 10.66.66.2/32
この仕事になぜこのホストか

VPN 出口に 特に NordBastion がふさわしい理由。

KYC 不要

あなたの VPN はホストへの紙の痕跡上にはありません。

メール + パスワードで登録、Bitcoin または Monero で入金、VPS を起動します。あなたに KYC を行った中間のクレジットカード発行会社もなく、課金身元をたった今起動した IP と相互参照する PSP もありません。ボックスは「このメールの下の前払い残高」に属し、それがリンクの終わりです。

北欧管轄

法律と設計によりログなし。

スウェーデン、フィンランド、ノルウェー、アイスランドにはホスターのデータ保持義務がありません ── 接続ログを「念のため」保持するよう求める英国 Investigatory Powers Act の同等品はありません。その法的最低基準の上に、月次の PGP 署名付き令状カナリアとローリングの透明性レポートを公開しています。ログの不在は主張されるだけでなく監査可能です。

1 Gbps 無制限

エントリーティアでも。

転送上限なし、帯域超過行なし、忍び寄るフェアユース天井なし。Sentinel は専用ティアと同じ 1 Gbps アップリンクを提供します ── つまり、VPN スループットは WireGuard のカーネルデータパス(コアあたり数 Gbps)と上流ピアリングに制限され、会計士のスプレッドシートには制限されません。

判定

Sentinel で実行。暗号通貨で支払い。自分の鍵を保持。

WireGuard VPN のセルフホスティングは、小さな VPS で行える最大のレバレッジの 1 つです。単一の商用 VPN サブスクリプションの価格で、汎用の北欧 Linux ボックスを手に入れます ── たまたま所有するすべてのデバイス向けにカーネル高速の暗号化トンネルも公開します。

NordBastion はこの特定の仕事に重要な部分について意見的です ── KYC なしの登録、暗号通貨のみの課金、北欧管轄、無制限アップリンク ── そして残りについては意図的に普通です。VPS は VPS、カーネルはカーネル、WireGuard は他のどこでも動作するのと同じように動作します。違うのは、もう一方の端に誰がいるかについて丁寧に質問できる人物です。

If you are coming from a commercial VPN, the migration is one afternoon. If you are starting from scratch, the step-by-step guide picks up where this editorial leaves off.

よくある質問・VPS 上の WireGuard

最初に出てくる質問。

運営者が北欧 VPS 上で独自の WireGuard VPN を立ち上げる前に実際に尋ねる 8 つの質問。

商用プロバイダーに支払う代わりに VPN をセルフホストする理由は?

商用 VPN は信頼の問題を一歩横にずらすだけです: ISP を信頼する代わりに、VPN プロバイダーがログを取らない、召喚されない、そして取るような会社に買収されないと信頼します。KYC なしの北欧 VPS でのセルフホスティングはその信頼を算術に置き換えます ── ボックスに shell を持つ唯一の人物はあなたで、ボックスに支払う唯一の人物はあなたで、ホスト(NordBastion)はそもそもその「あなた」が誰か知りません。トレードオフは、あなたが運営者になることです: 日曜の 23:00 にそれが壊れたとき、オンコールローテーションは 1 人の深さです。

エントリーティアの VPS は 5 デバイスの WireGuard を扱えるのか?

快適に。WireGuard は Linux カーネル内で動作し、つまり単一の Sentinel コア(Intel Xeon、3.4 GHz ブースト)は CPU がボトルネックになる前に、ラインレートで 5〜8 Gbps のオーダーで平文を暗号化・転送できます。5 つの同時デバイス、全員が 4K をストリーミングしていても、ロードアベレージには登録されません。アップグレードする理由はスループットではありません ── それは VPS が他の何か(Pi-hole、メディアサーバー、Matrix サーバー)もホストしていて、それらがコアを欲しがるかどうかです。

NordBastion の IP は Netflix や銀行にブロックされるのか?

はい ── Netflix と少数のストリーミングサービスは ASN でジオフェンスし、「この IP はホスティングネットワークに属する」だけで地域カタログまたは強制 403 にリダイレクトされます。銀行はもっとニュアンスがあります: ほとんどは接続を受け入れますが、不正スコアを上げ、ステップアップ MFA プロンプトを発動することがあります。VPN の役割がブラウジングと仕事のためのプライバシー + 北欧出口であれば、これはあなたには見えません。その役割が Netflix-US であれば、セルフホスト VPS はそれを解決しません ── 商用 VPN も信頼性高く解決しません。猫と鼠の追いかけっこは誰のデプロイパイプラインよりも速く動きます。

クライアントデバイスでの出口キルスイッチはどうなのか?

必須で、VPS の仕事ではありません。クライアント側を構成してください: Linux/Android では wg-quick post-up ファイアウォールフック(または wg0 から出ないデフォルトルートトラフィックを拒否する単純な iptables/nftables ルール)、iOS/macOS では公式 WireGuard アプリが「On-Demand」+「Exclude routes」を公開、Windows では公式クライアントに「Block untunneled traffic(キルスイッチ)」トグルがあります。VPS は鍵を保持しパケットを転送します。トンネルがダウンしているときに漏えいしないようにするのはクライアントの仕事です。

NordBastion は商用 VPN プロバイダーと価格でどう比較されるのか?

月額 $5.90 の Sentinel は商用 VPN サブスクリプション(NordVPN、Mullvad、IVPN はすべて月額 $5〜12 の範囲)とほぼ同じ月額費用です。変わるのは表面積です: 50 ヶ国ではなく 1 つの北欧出口 IP を得て、トンネルエンドポイントだけでなく汎用 Linux ボックスを手に入れます。唯一の必要が「ジオブロックを回避するために別の国から見えるようにする」であれば、商用が正しいツールです。ジャンプホスト、監視ボックス、個人 Pi-hole としても兼ねるプライベート VPN を望むなら、VPS が勝ちます。

VPN トラフィックは NordBastion に見えるのか?

いいえ ── そしてこれは約束ではなく構造的です。WireGuard はあなたの VPS から決して離れない秘密鍵でキーされた ChaCha20-Poly1305 エンベロープにすべての IP パケットを包みます。NordBastion は ISP がアップリンクで見るのと同じものを見ます: 2 つの IP 間の暗号化された UDP。インライン復号ポイントなし、マネージド VPN サービス面なし、鍵エスクローなし。令状カナリアと公開された透明性レポートは、誰かが私たちにそれを復号させようとした場合に何が起こるか記述します(できません)。

同じ VPS で WireGuard + Tor 出口を実行できるのか?

はい、そして一般的なパターンです: WireGuard は UDP/51820 で入口としてリスンし、VPS は選択したトラフィックをローカル Tor SOCKS5(ポート 9050)にルーティングしてオニオン出口のワークロードを処理し、その他は通常の北欧 IP 経由で出ます。Sentinel で十分です。唯一の運用上の注意点は、Tor に独自の systemd ユニットを与え、Tor 回路バーストが VPN スループットを食べないようにレート制限することです。Garrison ティア(月額 $11.90、4 vCPU/8 GB)はこの組み合わせの快適な住処です。

IP が北欧以外の国で必要な場合はどうするのか?

NordBastion は方針として北欧のみです ── ストックホルム、ヘルシンキ、オスロ、レイキャビク。ユースケースが「シンガポールから見える」や「ブラジルから見える」を要求する場合、NordBastion VPS はその特定の出口には間違ったツールです。ここに辿り着くほとんどの人は反対を望みます ── 安定し、よくピアリングされ、ログ圧力の低い北欧出口 ── そしてそれこそがプラットフォームが最適化しているものです。