Nordic 돌 작업장의 NordBastion 북극곰 마스코트, 양식화된 랩톱과 서버 타워 사이를 아치형으로 잇는 빛나는 시안색 암호화된 터널, 터널 주위를 도는 키와 자물쇠 기호

방법 안내 · 셀프 호스팅·읽기 11분 · 실습 15분

VPS에서 WireGuard VPN을 셀프 호스팅하십시오.
15분이면 나만의 개인 VPN이 완성됩니다.

'서버 없음'에서 '나만의 개인 VPN'까지 5단계 — 가입 시 KYC 없음, 암호화폐 결제, 신뢰 체인에 제3자 VPN 공급자 없음. Debian 12, 메인라인 커널의 WireGuard 1.0+에서 테스트됨.

5단계

01
프로비저닝
Nordic VPS
02
설치
apt install wireguard
03
구성하기
키 + wg0.conf
04
방화벽
UDP 51820 + 포워딩
05
연결
wg-quick up wg0

Step 01 · 프로비저닝

거주지에서 가까운 Nordic 거점을 선택하십시오.

패널에서 Order → VPS → Sentinel(월 $5.90, 2 vCPU / 4 GB / 120 GB NVMe)로 진행하세요. Sentinel은 무제한 대역폭과 1 Gbps 업링크를 갖추어 풀 스트리밍 환경에서도 개인 VPN에 충분합니다. 보내는 모든 바이트가 VPS를 거쳐 목적지에 도달하므로 물리적으로 가장 가까운 거점을 선택하세요. 유럽 고객은 Stockholm 또는 Helsinki를, 아메리카 또는 아시아 고객은 대서양 횡단 지연이 가장 낮은 Reykjavík이나 Oslo를 선택합니다.

OS 이미지: Debian 12를 권장합니다. Ubuntu 22.04 이상도 동일하게 작동합니다. Alpine도 작동하지만 패키지 이름이 다릅니다(apk add wireguard-tools). FreeBSD도 작동하지만 설정 구문이 다릅니다. 서버는 약 90초 만에 부팅되며 root 자격 증명은 패널에 1회 표시됩니다.

2단계 · 설치

단일 패키지로, 이미 커널에 포함되어 있습니다.

root로 SSH 접속하십시오. 그런 다음:

apt update
apt install -y wireguard qrencode

이것이 전부입니다. WireGuard는 5.6 버전(2020년 3월)부터 메인라인 Linux 커널에 포함되어 있으므로 apt는 사용자 공간 도구(wg, wg-quick)만 설치합니다 — 모듈 컴파일, DKMS, 커널 재빌드 없음. qrencode 패키지는 5단계에서 클라이언트 설정을 QR로 휴대폰에 전송하는 데 유용합니다.

4단계에서 잊지 않도록 지금 IP 포워딩을 활성화하세요:

echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
echo "net.ipv6.conf.all.forwarding=1" >> /etc/sysctl.conf
sysctl -p

단계 03 · 구성

키를 생성하고 wg0.conf를 작성하세요. 2분.

서버 키 쌍 생성:

cd /etc/wireguard
umask 077
wg genkey | tee server_private.key | wg pubkey > server_public.key

이제 디바이스마다 클라이언트 키 쌍을 하나씩 생성합니다.

wg genkey | tee laptop_private.key | wg pubkey > laptop_public.key
wg genkey | tee phone_private.key  | wg pubkey > phone_public.key

서버 설정 + 클라이언트당 하나의 [Peer] 블록으로 /etc/wireguard/wg0.conf를 생성합니다:

[Interface]
PrivateKey = <contents of server_private.key>
Address    = 10.66.66.1/24, fd00:66::1/64
ListenPort = 51820
PostUp     = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown   = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
# laptop
PublicKey  = <contents of laptop_public.key>
AllowedIPs = 10.66.66.2/32

[Peer]
# phone
PublicKey  = <contents of phone_public.key>
AllowedIPs = 10.66.66.3/32

단계 04 · 방화벽

UDP 51820을 개방하십시오. 나머지는 잠그십시오.

UFW(Ubuntu 기본값)를 사용하는 경우입니다.

ufw default deny incoming
ufw default allow outgoing
ufw allow 22/tcp        # SSH (consider port-knocking or VPN-only in production)
ufw allow 51820/udp     # WireGuard
ufw enable

NordBastion 거점은 패널에서 관리되는 업스트림 방화벽도 갖추고 있어 동일한 규칙을 그곳에도 복제하여 다층 방어를 구성할 수 있습니다. 거점 단위 방화벽은 패킷이 VPS에 도달하기 전에 차단하므로 대용량 스캐닝 시 CPU를 절약합니다.

따를 만한 프라이버시 팁: WireGuard ListenPort를 51820(스캐너가 탐색하는 기본값)에서 1024~65535 사이의 임의 포트로 변경하십시오. 결연한 공격자에 대한 보안을 향상시키지는 않지만 무작위 스캐너의 노이즈를 줄여줍니다.

5단계 · 연결

터널을 시작합니다. 몇 초 만에 첫 클라이언트 연결.

서버에서:

systemctl enable --now wg-quick@wg0
wg                          # status: should show interface up

서버에 클라이언트 설정(laptop.conf)을 만든 다음 노트북으로 복사합니다:

[Interface]
PrivateKey = <contents of laptop_private.key>
Address    = 10.66.66.2/24, fd00:66::2/64
DNS        = 1.1.1.1, 9.9.9.9       # or your favourite privacy resolver

[Peer]
PublicKey         = <contents of server_public.key>
Endpoint          = <server-ip>:51820
AllowedIPs        = 0.0.0.0/0, ::/0
PersistentKeepalive = 25

모바일의 경우 qrencode를 통해 설정을 파이프하고 WireGuard 앱으로 스캔하세요:

qrencode -t ansiutf8 < phone.conf

그게 전부입니다. 클라이언트가 연결되고 터널이 올라오면 노트북 / 폰이 Nordic 거점을 통해 인터넷에 접근하게 됩니다. curl https://api.ipify.org로 확인하세요. 반환되는 IP는 가정용 IP가 아니라 VPS의 공인 IP입니다.

FAQ · WireGuard

질문들, 답변됨.

처음 자체 호스팅 VPN을 사용하는 고객이 묻는 8가지 질문.

NordVPN / Mullvad / ProtonVPN을 사용하는 대신 WireGuard VPN을 자체 호스팅해야 하는 이유는 무엇입니까?

세 가지 실질적 이유. (1) 신뢰 체인이 줄어듭니다. 상용 VPN은 "이 회사가 사용자를 로깅하지 않을 것을 신뢰"하는 것이고, 자체 호스팅 VPN은 "이 VPS 공급자가 사용자를 로깅하지 않을 것을 신뢰"하는 것입니다. 신뢰 당사자가 하나 줄어듭니다. (2) VPN 엔드포인트가 본인 전용입니다. 상용 VPN 출구 IP는 수천 명의 사용자가 공유하며 많은 서비스에 의해 차단됩니다. 자체 호스팅 엔드포인트는 누구에게도 플래그가 지정되지 않은 깨끗한 새 IP입니다. (3) 비용. NordBastion Sentinel은 월 $5.90이며 무제한 대역폭 VPN을 운영합니다. 상용 VPN은 공유 인프라에 대해 월 $5~$15입니다.

왜 OpenVPN이 아닌 WireGuard인가요?

WireGuard는 더 작고(커널 코드 약 4,000줄로 OpenVPN의 약 100,000줄에 비해), 더 빠르며(동일 하드웨어에서 흔히 3-5배 더 높은 처리량), 설정이 더 단순하고(CA/cert/dhparam 설정 대신 단일 구성 파일), 감사 친화적입니다. 5.6(2020) 이후 메인라인 Linux 커널에 포함되어 있어 컴파일 단계도 필요 없습니다. OpenVPN은 레거시 호환성과 TCP 기반 트래픽에 여전히 유용하며, 그 외 모든 경우에는 WireGuard가 현대적 기본 선택지입니다.

ISP가 제가 VPN을 실행하고 있다는 것을 알 수 있습니까?

사용자의 ISP는 포트 51820에서 NordBastion IP로 향하는 암호화된 UDP 트래픽을 봅니다. 이 패턴은 VPN 트래픽으로 인식되지만, 반대편에 무엇이 있는지는 알 수 없습니다. 사용자의 환경에서 "VPN을 운영한다는 사실 자체"가 민감하다면 WireGuard를 포트 443에서 실행하세요(WireGuard는 TCP가 아닌 UDP를 사용하지만 포트는 HTTPS와 동일). ISP가 WireGuard 핸드셰이크를 적극적으로 차단한다면 udp2raw 같은 난독화 래퍼도 고려하세요.

VPS를 VPN과 다른 용도의 서버로 동시에 사용할 수 있나요?

예, 흔한 패턴입니다. VPS는 WireGuard와 함께 필요한 다른 서비스(개인 웹사이트, Bitcoin 노드, Mastodon 인스턴스 등)를 함께 실행합니다. 방화벽 규칙이 VPN 트래픽과 공개 서비스를 격리해 주며, iptables/nft를 통해 VPN 클라이언트를 특정 로컬 서비스로만 라우팅하고 다른 서비스로는 가지 못하게 할 수 있습니다.

IP 지오로케이션은 어떤가요? 사이트들이 제가 Sweden에 있다고 인식할까요?

예 — 귀하의 종료 IP는 귀하가 선택한 NordBastion 거점입니다. IP로 지오펜싱하는 스트리밍 서비스는 귀하를 Swedish(Stockholm 거점), Finnish(Helsinki), Norwegian(Oslo) 또는 Icelandic(Reykjavík)로 취급합니다. "새로운 국가에서 로그인됨"을 표시하는 은행 사이트는 사기 규칙을 트리거합니다. 이는 정상적인 동작이며, VPN 문제가 아닙니다.

WireGuard 서버 하나가 처리할 수 있는 클라이언트 수는 몇 개입니까?

개인 용도로는 사실상 무제한입니다. 피어 하나당 몇 KB의 메모리만 추가됩니다. 제약은 WireGuard 데몬 자체가 아니라 대역폭과 거점의 업링크입니다. 무제한 대역폭과 1 Gbps 업링크를 갖춘 Sentinel 등급은 WireGuard 프로세스가 한계에 닿기 한참 전에 대역폭이 먼저 포화됩니다.

이를 전용 VPS에서 실행해야 하나요, 아니면 다른 워크로드와 공유해야 하나요?

전용 VPS는 OPSEC 관점에서 더 깔끔합니다 — IP와 연관된 것은 "개인 VPN"뿐입니다. 워크로드를 혼합하면 VPN 트래픽과 다른 워크로드의 트래픽이 동일한 아웃고잉 IP를 공유하며, 어느 한쪽의 평판 문제가 다른 쪽에도 영향을 미칩니다. 월 $5.90이라면 별도로 유지하는 것이 합리적입니다.

자체 호스팅 WireGuard에 킬 스위치를 적용할 수 있나요?

예, 클라이언트 측에서 가능합니다. WireGuard 구성은 PostUp / PostDown 블록을 지원하며, 여기에 터널이 활성 상태일 때 비VPN 트래픽을 차단하는 iptables 규칙을 추가할 수 있습니다. 또한 클라이언트 OS가 기본적으로 비VPN 연결을 거부하도록 설정할 수 있습니다. 여러 오픈 소스 관리자 앱(wg-easy, WireGuard-UI, Pi-VPN)이 이를 래핑해 줍니다.

준비됨