Коммерческий VPN сдвигает проблему доверия на одного провайдера в сторону. Самостоятельный хостинг WireGuard на KYC-свободном скандинавском VPS заменяет доверие арифметикой — Ваши ключи, Ваша машина, Ваш выходной IP и ничьё регулярное списание по банковской карте.
Субмиллисекундный нативный для ядра WireGuard — никакого моста в userspace, никакого узкого места TUN, несколько гигабит открытого текста на ядро.
Скандинавские выходные IP, которым Ваши устройства действительно могут доверять, — Стокгольм, Хельсинки, Осло или Рейкьявик, юрисдикции без мандата на хранение данных для хостингов.
Построено на VPS за $5,90/мес, который никому не должен идентичность, — оплачивается в Bitcoin или Monero, никакой карты в файле, никаких регулярных автосписаний.
Коммерческий VPN-провайдер продаёт Вам обещание: «мы не ведём журналы». Вы проверяете это обещание, читая их маркетинговый сайт, их последний аудит (если он был) и доверяя, что ни компания, ни её материнская организация с тех пор не сменили владельца. Обещание извне непроверяемо — единственная сущность, которая может подтвердить «без журналов», — это та, которой есть что терять, признав обратное.
Самостоятельно размещённый сервер WireGuard заменяет обещание структурой. Вы устанавливаете демон, генерируете ключи, пишете список пиров. Ключи никогда не покидают машину. Нет вышестоящего провайдера, который мог бы что-то логировать, потому что нет вышестоящего провайдера — есть модуль ядра Linux и один конфигурационный файл.
Компромисс — операционный. Вы становитесь дежурным. Если VPS перезагрузится, а Ваш юнит wg0 не настроен на запуск при загрузке, Ваш туннель без Вас не вернётся. Если обновление ядра меняет значение sysctl по умолчанию, Вы это отлаживаете. Для одного человека и горстки устройств это 90-минутная настройка и ~10 минут в квартал на обслуживание; для семьи из пяти человек или небольшой команды математика всё равно в Вашу пользу.
Правильный вопрос — не «самостоятельно или коммерчески» в абстракции, а «доверяю ли я себе с SSH-ключом больше, чем маркетинговой странице». Если ответ — да, остальная часть этой страницы — рецепт.
Для личного VPN — Ваш ноутбук, Ваш телефон, планшет, пара устройств, которые всегда в туннеле, — оптимальная точка это Sentinel ($5,90/мес, 2 vCPU, 4 ГБ). Путь данных WireGuard в ядре настолько лёгок, что CPU не является ограничением; ограничение — безлимитный аплинк 1 Гбит/с, что щедро для одного домохозяйства.
Пять или более устройств в туннеле, партнёр или семья, также живущие за ним, либо сценарий, прокачивающий серьёзный объём загрузки (homelab, тянущий бэкапы, торрент-клиент, живущий в туннеле), — вот когда Garrison ($11,90/мес, 4 vCPU, 8 ГБ) оправдывает себя. Дополнительная RAM — не для WireGuard, а для того, что Вы неизбежно поселите рядом на той же машине (Pi-hole, небольшой Mastodon, Uptime-Kuma).
Небольшой команде — 10–25 пиров, постоянные «дорожные воины», site-to-site-канал к homelab — нужен Ravelin ($23,90/мес, 8 vCPU, 16 ГБ). Сверх этого узким местом перестаёт быть VPS и становится сам аплинк 1 Гбит/с, и правильный ход — обновить регион бастиона или разнести на два региональных шлюза.
Чем ни один из них не является: корпоративным концентратором на тысячу пиров. NordBastion построен для одного оператора с его собственными устройствами и людьми, которых он действительно знает, — а не для продажи подписок незнакомцам.
A skeleton sketch — the full step-by-step guide covers the firewall, the per-device QR codes, and the kill-switch reading list.
Образ Debian/Ubuntu, предзагруженный на каждом VPS NordBastion. Одна строка apt, никаких дополнительных репозиториев.
# на VPS, под rootapt install wireguardПриватный ключ для сервера, по одному на каждого пира. Приватный ключ никогда не покидает машину, которой он принадлежит.
wg genkey | tee privkey \
| wg pubkey > pubkeyБлок интерфейса: приватный ключ сервера, порт прослушивания 51820 и туннельная подсеть 10.66.66.0/24, которую Вы будете раздавать пирам.
nano /etc/wireguard/wg0.conf
# [Interface] Address, PrivateKey,
# ListenPort, PostUp NAT rulesSystemd-юнит поставляется с пакетом. Переживает перезагрузки и rescue-циклы, инициированные через панель.
systemctl enable \
--now wg-quick@wg0Один блок [Peer] на устройство, с публичным ключом этого устройства и его выделенным туннельным IP. Live-reload, перезапуск не требуется.
wg set wg0 peer <PUBKEY> \
allowed-ips 10.66.66.2/32Мы регистрируем Вас по email + паролю, Вы пополняете в Bitcoin или Monero, Вы запускаете VPS. В середине нет эмитента банковской карты, который провёл по Вам KYC, нет PSP, перекрёстно ссылающегося на Вашу биллинговую идентичность с IP, который Вы только что подняли. Машина принадлежит «предоплаченному балансу под этим email», и на этом связь заканчивается.
У Швеции, Финляндии, Норвегии и Исландии нет мандата на хранение данных для хостингов — нет аналога британского Investigatory Powers Act, требующего от нас хранить журналы соединений «на всякий случай». Поверх этого правового фундамента мы публикуем ежемесячный PGP-подписанный warrant canary и регулярный отчёт о прозрачности; отсутствие журналов проверяемо, а не просто заявлено.
Никакого лимита трафика, никакой строки превышения по полосе пропускания, никакого ползущего fair-use-потолка. Sentinel поставляется с тем же аплинком 1 Гбит/с, что и выделенные тарифы, — что означает, что пропускная способность Вашего VPN ограничена путём данных WireGuard в ядре (несколько Гбит/с на ядро) и вышестоящим пирингом, а не бухгалтерской таблицей.
Самостоятельный хостинг WireGuard VPN — одно из самых рычаговых дел, которые можно сделать на небольшом VPS. За цену одной коммерческой VPN-подписки Вы получаете универсальную скандинавскую Linux-машину, которая попутно предоставляет быстрый, как ядро, зашифрованный туннель для каждого Вашего устройства.
NordBastion имеет мнение по поводу частей, важных для этой конкретной задачи, — регистрация без KYC, биллинг только в криптовалюте, скандинавская юрисдикция, безлимитный аплинк, — и намеренно обыкновенен во всём остальном. VPS — это VPS. Ядро — это ядро. WireGuard работает так же, как работал бы где угодно ещё; отличается то, кто может вежливо задавать вопросы о том, кто на другом конце.
If you are coming from a commercial VPN, the migration is one afternoon. If you are starting from scratch, the step-by-step guide picks up where this editorial leaves off.
Восемь вопросов, которые операторы действительно задают перед поднятием своего собственного WireGuard VPN на скандинавском VPS.
Коммерческий VPN сдвигает проблему доверия на шаг в сторону: вместо доверия Вашему провайдеру Вы доверяете VPN-провайдеру не вести журналы, не попасть под повестку и не быть купленным компанией, которая будет это делать. Самостоятельный хостинг на KYC-свободном скандинавском VPS заменяет это доверие арифметикой — единственный человек с shell на машине — это Вы, единственный человек, оплачивающий машину, — это Вы, а хостинг (NordBastion) и не знает, кто этот «Вы», в принципе. Компромисс в том, что Вы становитесь оператором: когда оно сломается в 23:00 в воскресенье, дежурный — Вы один.
Комфортно. WireGuard работает в ядре Linux, что означает, что одно ядро Sentinel (Intel Xeon, 3,4 ГГц boost) может шифровать и пересылать порядка 5–8 Гбит/с открытого текста на скорости интерфейса, прежде чем CPU станет узким местом. Пять одновременных устройств, даже все стримящие 4K, не зарегистрируются в среднем загрузке. Причина для апгрейда — не пропускная способность, а то, что VPS также размещает что-то ещё (Pi-hole, медиа-сервер, Matrix-сервер), что само хочет ядра.
Да — Netflix и горстка стриминговых сервисов геофенсируют по ASN, и «этот IP принадлежит хостинговой сети» достаточно, чтобы перенаправить Вас на региональный каталог или captive 403. Банки более тонкие: большинство принимает соединение, но повышает fraud-score и может запросить step-up MFA. Если задача Вашего VPN — приватность + скандинавский egress для просмотра и работы, это для Вас невидимо. Если задача — Netflix-US, самостоятельный VPS этого не решит — ни один коммерческий VPN не решает это надёжно; гонка «кошки-мышки» движется быстрее, чем чей-либо конвейер развёртывания.
Обязателен, и это не задача VPS. Настройте клиентскую сторону: на Linux/Android — post-up-хуки файрвола в wg-quick (или простое правило iptables/nftables, запрещающее трафик по маршруту по умолчанию, не выходящий через wg0); на iOS/macOS официальное приложение WireGuard предоставляет «On-Demand» + «Exclude routes»; на Windows официальный клиент имеет переключатель «Block untunneled traffic (kill-switch)». VPS держит ключи и пересылает пакеты; отказ от утечек, когда туннель упал, — задача клиента.
Sentinel за $5,90/мес — это примерно та же ежемесячная стоимость, что и коммерческая VPN-подписка (NordVPN, Mullvad, IVPN — все в диапазоне $5–12/мес). Меняется поверхность: Вы получаете один скандинавский выходной IP вместо 50 стран и полноценную универсальную Linux-машину, а не только конечную точку туннеля. Если Ваша единственная потребность — «появиться из другой страны, чтобы обойти геоблок», коммерческий — правильный инструмент. Если Вы хотите приватный VPN, который параллельно служит Вашим jump-host, мониторинговой машиной и личным Pi-hole, VPS выигрывает.
Нет — и это структурно, а не обещание. WireGuard заворачивает каждый IP-пакет в оболочку ChaCha20-Poly1305 на основе Вашего приватного ключа, который никогда не покидает Ваш VPS. NordBastion видит то же, что Ваш провайдер видит на своём аплинке: зашифрованный UDP между двумя IP. Нет точки расшифровки в линии, нет управляющего плана VPN-сервиса, нет депонирования ключей. Warrant canary и публикуемый отчёт о прозрачности описывают, что произошло бы, если бы кто-то попытался заставить нас это расшифровать (мы не можем).
Да, и это распространённая схема: WireGuard слушает на UDP/51820 как Ваша точка входа, VPS маршрутизирует выбранный трафик в локальный Tor SOCKS5 (порт 9050) для onion-egress-нагрузок, а всё остальное выходит через обычный скандинавский IP. Sentinel достаточно; единственное операционное замечание — дать Tor свой systemd-юнит и ограничить его по скорости, чтобы пропускная способность VPN не съедалась всплесками Tor-цепочек. Тариф Garrison ($11,90/мес, 4 vCPU/8 ГБ) — комфортный дом для этой комбинации.
NordBastion по доктрине только скандинавский — Стокгольм, Хельсинки, Осло, Рейкьявик. Если сценарий требует «появляется из Сингапура» или «появляется из Бразилии», VPS NordBastion — неправильный инструмент для этого конкретного выхода. Большинство людей, попадающих сюда, хотят противоположного — стабильного, хорошо пиринговавшегося, с низким давлением логирования скандинавского выхода, — и именно под это оптимизируется платформа.