Um VPN comercial move o problema de confiança um provedor para o lado. Autohospedar WireGuard em um VPS nórdico KYC-free substitui confiança por aritmética — suas chaves, sua máquina, seu IP de saída, e nenhuma cobrança recorrente em cartão de crédito.
WireGuard kernel-nativo sub-milissegundo — sem ponte em userspace, sem gargalo TUN, vários gigabits de plaintext por núcleo.
IPs de saída nórdicos em que seus dispositivos podem de fato confiar — Stockholm, Helsinki, Oslo ou Reykjavík, jurisdições sem mandato de retenção de dados para hosts.
Construído em um VPS de $5,90/mês que não deve identidade a ninguém — pago em Bitcoin ou Monero, sem cartão no cadastro, sem cobrança automática recorrente.
Um provedor de VPN comercial te vende uma promessa: "não logamos". Você verifica essa promessa lendo o site de marketing deles, a última auditoria (se houve uma) e confiando que nem a empresa nem a empresa-mãe mudaram de mãos desde então. A promessa é inverificável de fora — a única entidade que pode confirmar "sem logs" é aquela com tudo a perder ao admitir o contrário.
Um servidor WireGuard autohospedado substitui a promessa por estrutura. Você instala o daemon, gera as chaves, escreve a lista de peers. As chaves nunca saem da máquina. Não há provedor upstream para logar nada porque não há provedor upstream — há um módulo de kernel Linux e um único arquivo de config.
O trade-off é operacional. Você se torna o plantão. Se o VPS reinicia e sua unit wg0 não está enabled-at-boot, seu túnel não volta sem você. Se um update de kernel muda um sysctl default, você debuga. Para uma pessoa e um punhado de dispositivos isso é um setup de 90 minutos e ~10 minutos por trimestre de manutenção; para uma família de cinco ou uma equipe pequena, a matemática ainda fecha a seu favor.
A pergunta certa não é "autohospedar ou comercial" no abstrato — é "confio em mim com uma chave SSH mais do que em uma página de marketing?". Se a resposta é sim, o resto desta página é a receita.
Para um VPN pessoal — seu laptop, seu celular, um tablet, alguns dispositivos sempre tunelados — o sweet spot é o Sentinel ($5,90/mês, 2 vCPU, 4 GB). O data path em kernel do WireGuard é tão leve que a CPU não é o constraint; o constraint é o uplink ilimitado de 1 Gbps, generoso para um único domicílio.
Cinco ou mais dispositivos no túnel, um parceiro ou família que também vive por trás dele, ou um caso de uso que empurra volume sério de download (um homelab puxando backups, um cliente torrent vivendo no túnel) — é aí que o Garrison ($11,90/mês, 4 vCPU, 8 GB) se paga. A RAM extra não é para o WireGuard — é para o que mais você inevitavelmente vai co-hospedar na mesma máquina (um Pi-hole, um pequeno Mastodon, um Uptime-Kuma).
Uma equipe pequena — 10–25 peers, road-warriors persistentes, um link site-a-site para um homelab — quer o Ravelin ($23,90/mês, 8 vCPU, 16 GB). Além disso, o gargalo deixa de ser o VPS e passa a ser o próprio uplink de 1 Gbps, e a jogada certa é fazer upgrade da região-bastion ou dividir em dois gateways regionais.
O que nenhum desses é: um concentrador corporativo de mil peers. A NordBastion é construída para um operador com seus próprios dispositivos e pessoas que ele realmente conhece — não para vender assinaturas a estranhos.
A skeleton sketch — the full step-by-step guide covers the firewall, the per-device QR codes, and the kill-switch reading list.
Imagem Debian/Ubuntu, pré-instalada em todo VPS NordBastion. Uma linha apt, sem repos extras.
# no VPS, como rootapt install wireguardUma chave privada para o servidor, uma por peer. A chave privada nunca sai da máquina que a possui.
wg genkey | tee privkey \
| wg pubkey > pubkeyA estrofe de interface: chave privada do servidor, porta de escuta 51820, e a subnet de túnel 10.66.66.0/24 que você vai distribuir aos peers.
nano /etc/wireguard/wg0.conf
# [Interface] Address, PrivateKey,
# ListenPort, PostUp NAT rulesUnit do systemd vem com o pacote. Sobrevive a reboots e ciclos de rescue iniciados pelo painel.
systemctl enable \
--now wg-quick@wg0Um bloco [Peer] por dispositivo, com a chave pública desse dispositivo e o IP de túnel alocado. Live-reload, sem necessidade de restart.
wg set wg0 peer <PUBKEY> \
allowed-ips 10.66.66.2/32Te cadastramos com e-mail + senha, você recarrega em Bitcoin ou Monero, você dá boot em um VPS. Não há emissor de cartão de crédito no meio que tenha feito KYC em você, sem PSP cruzando sua identidade de cobrança com o IP que você acabou de acender. A máquina pertence a "o saldo pré-pago sob este e-mail", e esse é o fim do vínculo.
Suécia, Finlândia, Noruega e Islândia não têm mandato de retenção de dados para hosts — não há equivalente ao UK Investigatory Powers Act pedindo que mantenhamos logs de conexão "por garantia". Em cima desse piso legal, publicamos um warrant canary mensal assinado em PGP e um relatório de transparência contínuo; a ausência de logs é auditável, não apenas reivindicada.
Sem teto de transferência, sem linha de excedente de banda, sem teto fair-use rastejante. O Sentinel entrega o mesmo uplink de 1 Gbps dos tiers dedicados — o que significa que seu throughput de VPN é limitado pelo data path em kernel do WireGuard (vários Gbps por núcleo) e pelo peering upstream, não por uma planilha de contador.
Autohospedar um VPN WireGuard é uma das coisas de maior alavancagem que você pode fazer em um VPS pequeno. Pelo preço de uma única assinatura de VPN comercial você obtém uma máquina Linux nórdica de propósito geral que também expõe um túnel cifrado kernel-fast para cada dispositivo seu.
A NordBastion tem opinião nas partes que importam para esse trabalho específico — cadastro KYC-free, cobrança apenas em cripto, jurisdição nórdica, uplink ilimitado — e deliberadamente comum no resto. O VPS é um VPS. O kernel é um kernel. WireGuard roda do mesmo jeito que rodaria em qualquer outro lugar; o que difere é quem pode fazer perguntas educadas sobre quem está do outro lado.
If you are coming from a commercial VPN, the migration is one afternoon. If you are starting from scratch, the step-by-step guide picks up where this editorial leaves off.
As oito perguntas que operadores realmente fazem antes de subir seu próprio VPN WireGuard em um VPS nórdico.
Um VPN comercial move o problema de confiança um passo para o lado: em vez de confiar no seu ISP, você confia que o provedor de VPN não vai logar, não vai ser intimado e não vai ser comprado por uma empresa que vai. Autohospedar em um VPS nórdico KYC-free substitui essa confiança por aritmética — a única pessoa com shell na máquina é você, a única pessoa pagando pela máquina é você, e a host (NordBastion) não sabe quem é esse "você" em primeiro lugar. O trade-off é que você se torna o operador: quando quebrar às 23:00 de domingo, o rodízio de plantão tem uma pessoa só.
Confortavelmente. WireGuard roda no kernel Linux, o que significa que um único núcleo do Sentinel (Intel Xeon, boost 3,4 GHz) consegue cifrar e encaminhar na ordem de 5–8 Gbps de plaintext em line rate antes de a CPU virar gargalo. Cinco dispositivos concorrentes, mesmo todos com streaming 4K, não vão aparecer no load average. A razão para fazer upgrade não é throughput — é se o VPS também está hospedando outra coisa (um Pi-hole, um media server, um servidor Matrix) que quer os núcleos para si.
Sim — Netflix e um punhado de serviços de streaming fazem geofencing por ASN, e "este IP pertence a uma rede de hosting" basta para te redirecionar ao catálogo regional ou ao 403 cativo. Bancos são mais nuançados: a maioria aceita a conexão mas eleva o fraud-score e pode disparar um prompt de MFA step-up. Se o trabalho do seu VPN é privacidade + saída nórdica para navegação e trabalho, isso é invisível para você. Se o trabalho é Netflix-US, um VPS autohospedado não vai resolver isso — nenhum VPN comercial resolve isso de forma confiável também; o gato e rato corre mais rápido que o pipeline de deploy de qualquer um.
Obrigatório, e não é trabalho do VPS. Configure no lado cliente: no Linux/Android use os hooks de firewall post-up do wg-quick (ou uma regra simples iptables/nftables negando tráfego de default-route que não saia por wg0); no iOS/macOS o app oficial WireGuard expõe "On-Demand" + "Exclude routes"; no Windows o cliente oficial tem um toggle "Block untunneled traffic (kill-switch)". O VPS guarda as chaves e encaminha pacotes; recusar vazamento quando o túnel está caído é trabalho do cliente.
Um Sentinel a $5,90/mês é aproximadamente o mesmo custo mensal de uma assinatura de VPN comercial (NordVPN, Mullvad, IVPN estão todos na faixa de $5–12/mês). O que muda é a superfície: você ganha um IP de saída nórdico em vez de 50 países, e ganha uma máquina Linux de propósito geral em vez de apenas um endpoint de túnel. Se sua única necessidade é "aparecer de outro país para burlar um geoblock", comercial é a ferramenta certa. Se você quer um VPN privado que também sirva de jump-host, máquina de monitoramento e Pi-hole pessoal, o VPS vence.
Não — e isso é estrutural, não promessa. WireGuard envolve cada pacote IP em um envelope ChaCha20-Poly1305 chaveado pela sua chave privada, que nunca sai do seu VPS. A NordBastion vê a mesma coisa que seu ISP vê em seu uplink: UDP cifrado entre dois IPs. Não há ponto de decifração in-line, sem plano de serviço VPN gerenciado, sem key-escrow. O warrant canary e o relatório de transparência publicado descrevem o que aconteceria se alguém tentasse nos obrigar a decifrar (não podemos).
Sim, e é um padrão comum: WireGuard escuta em UDP/51820 como seu ponto de entrada, o VPS roteia tráfego selecionado para um SOCKS5 Tor local (porta 9050) para cargas de saída-onion, e o resto sai pelo IP nórdico regular. O Sentinel basta; a única observação operacional é dar ao Tor sua própria unit do systemd e rate-limitá-lo para que o throughput do VPN não seja comido por rajadas de circuito Tor. O tier Garrison ($11,90/mês, 4 vCPU/8 GB) é o lar confortável para essa combinação.
A NordBastion é apenas nórdica por doutrina — Stockholm, Helsinki, Oslo, Reykjavík. Se o caso de uso requer "aparece de Singapura" ou "aparece do Brasil", um VPS NordBastion é a ferramenta errada para essa saída específica. A maioria das pessoas que pousa aqui quer o oposto — uma saída nórdica estável, bem peerada, com baixa pressão de logs — e é exatamente o que a plataforma otimiza.