NordBastion kutup ayısı maskotu, şık bir dizüstü bilgisayar ile sunucu kulesi arasında kemer yapan parlayan cyan şifreli tünel ve tünelin etrafında dönen anahtar ve kilit glifleriyle Nordic taş atölyede
Nasıl yapılır · Kendi barındırma·11 dakika okuma · 15 dakika uygulama

VPS üzerinde WireGuard VPN öz barındırın.
Kendi kişisel VPN'inize on beş dakika.

"Sunucu yok"tan "kendi kişisel VPN'm"a beş adım — kayıtta KYC'siz, kripto ödemeli, güven zincirinde üçüncü taraf VPN sağlayıcı yok. Mainline kernel'da WireGuard 1.0+ ile Debian 12'de test edilmiştir.

Beş adım
  1. 01

    Sağla

    Nordic VPS

  2. 02

    Kur

    apt install wireguard

  3. 03

    Yapılandır

    Anahtarlar + wg0.conf

  4. 04

    Güvenlik duvarı

    UDP 51820 + yönlendirme

  5. 05

    Bağlan

    wg-quick up wg0

Adım 01 · Sağlama

Yaşadığınız yere yakın Nordic bastion seçin.

Panelde: Sipariş → VPS → Sentinel (aylık 5,90 dolar, 2 vCPU / 4 GB / 120 GB NVMe). Sentinel, tam akışta bile kişisel VPN için yeterli, sınırsız bant genişliği ve 1 Gbps uplink'e sahiptir. Fiziksel olarak bulunduğunuz yere en yakın bastionı seçin; çünkü gönderdiğiniz her bayt hedefe ulaşmadan önce VPS'ten geçer. Avrupalı müşteri Stockholm veya Helsinki'yi seçer; Amerikalı / Asyalı müşteri Reykjavík'i (en düşük transatlantik gecikme) veya Oslo'yu seçer.

OS görüntüsü: Debian 12 tavsiyedir. Ubuntu 22.04+ aynı şekilde çalışır. Alpine çalışır ancak farklı paket adları kullanır (apk add wireguard-tools). FreeBSD da çalışır ancak yapılandırma sözdizimi ayrışır. Sunucu yaklaşık 90 saniyede açılır; root kimlik bilgileri panelde bir kez gösterilir.

Adım 02 · Kurulum

Bir paket, zaten kernel'da.

Root olarak SSH ile bağlanın. Ardından:

apt update
apt install -y wireguard qrencode

Hepsi bu kadar. WireGuard, 5.6 sürümünden (Mart 2020) bu yana ana hat Linux çekirdeğinde yer almaktadır; dolayısıyla apt yalnızca kullanıcı alanı araçlarını (wg, wg-quick) kurar — modül derleme yok, DKMS yok, çekirdek yeniden derleme yok. qrencode paketi, istemci yapılandırmasını 5. adımda bir QR kodu olarak telefona göndermek için kullanışlı olacaktır.

4. adımda unutmamak için şimdi IP yönlendirmeyi etkinleştirin:

echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
echo "net.ipv6.conf.all.forwarding=1" >> /etc/sysctl.conf
sysctl -p
Adım 03 · Yapılandırma

Anahtarlar oluşturun, wg0.conf yazın. İki dakika.

Bir sunucu anahtar çifti oluşturun:

cd /etc/wireguard
umask 077
wg genkey | tee server_private.key | wg pubkey > server_public.key

Şimdi cihaz başına bir istemci anahtar çifti oluşturun:

wg genkey | tee laptop_private.key | wg pubkey > laptop_public.key
wg genkey | tee phone_private.key  | wg pubkey > phone_public.key

Sunucu ayarları + istemci başına bir [Peer] bloğuyla /etc/wireguard/wg0.conf oluşturun:

[Interface]
PrivateKey = <contents of server_private.key>
Address    = 10.66.66.1/24, fd00:66::1/64
ListenPort = 51820
PostUp     = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown   = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
# laptop
PublicKey  = <contents of laptop_public.key>
AllowedIPs = 10.66.66.2/32

[Peer]
# phone
PublicKey  = <contents of phone_public.key>
AllowedIPs = 10.66.66.3/32
Adım 04 · Güvenlik Duvarı

UDP 51820'yi açın. Geri kalanını kilitleyin.

UFW kullanıyorsanız (Ubuntu'da varsayılan):

ufw default deny incoming
ufw default allow outgoing
ufw allow 22/tcp        # SSH (consider port-knocking or VPN-only in production)
ufw allow 51820/udp     # WireGuard
ufw enable

NordBastion bastionları aynı zamanda panelden yönetilen bir upstream güvenlik duvarına sahiptir — derinlemesine savunma için aynı kuralları orada çoğaltabilirsiniz. Bastion düzeyi güvenlik duvarı, paket VPS'e ulaşmadan önce engeller; bu da hacimsel taramada CPU tasarrufu sağlar.

Takip etmeye değer bir gizlilik ipucu: WireGuard ListenPort'u 51820'den (tarayıcıların aradığı varsayılan) 1024 ile 65535 arasında rastgele bir porta değiştirin. Kararlı bir saldırgana karşı güvenliği artırmaz ancak rastgele tarayıcılardan gelen gürültüyü azaltır.

Adım 05 · Bağlanma

Tüneli kurun. İlk istemci saniyeler içinde bağlandı.

Sunucuda:

systemctl enable --now wg-quick@wg0
wg                          # status: should show interface up

Sunucuda bir istemci yapılandırması (laptop.conf) oluşturun, ardından laptopa kopyalayın:

[Interface]
PrivateKey = <contents of laptop_private.key>
Address    = 10.66.66.2/24, fd00:66::2/64
DNS        = 1.1.1.1, 9.9.9.9       # or your favourite privacy resolver

[Peer]
PublicKey         = <contents of server_public.key>
Endpoint          = <server-ip>:51820
AllowedIPs        = 0.0.0.0/0, ::/0
PersistentKeepalive = 25

Mobil için yapılandırmayı qrencode aracılığıyla aktarın ve WireGuard uygulamasıyla tarayın:

qrencode -t ansiutf8 < phone.conf

Hepsi bu kadar. İstemci bağlanır, tünel kurulur ve dizüstü bilgisayar / telefon artık internete Nordic bastion üzerinden erişir. Şu komutla doğrulayın: curl https://api.ipify.org — dönen IP, ev IP'niz değil VPS'in genel IP'sidir.

SSS · WireGuard

Sorular, yanıtlandı.

İlk kez kendi barındırmalı VPN müşterisinin sorduğu sekiz soru.

NordVPN / Mullvad / ProtonVPN kullanmak yerine neden WireGuard VPN öz barındırmalısınız?

Üç gerçek neden. (1) Güven zinciri kısalır. Ticari bir VPN "bu şirkete kayıt tutmayacağına güvenin" demektir; öz barındırmalı bir VPN ise "bu VPS sağlayıcısına kayıt tutmayacağına güvenin" — bir taraf daha az. (2) VPN uç noktası yalnızca sizindir. Ticari VPN çıkış IP'leri binlerce kullanıcı arasında paylaşılır ve pek çok servis tarafından engellenir; öz barındırmalı uç noktanız, kimsenin işaretlemediği taze ve temiz bir IP'dir. (3) Maliyet. Bir NordBastion Sentinel aylık $5,90'dır ve sınırsız bant genişlikli VPN çalıştırır; ticari VPN'ler paylaşımlı altyapı için aylık $5-$15 tutar.

Neden OpenVPN yerine WireGuard?

WireGuard daha küçüktür (OpenVPN'in yaklaşık 100.000'ine karşılık 4.000 satır çekirdek kodu), daha hızlıdır (aynı donanımda genellikle 3-5 kat daha yüksek iş hacmi), yapılandırması daha basittir (CA/sertifika/dhparam altyapısı yerine tek bir yapılandırma dosyası) ve denetim dostudur. 5.6 (2020) sürümünden bu yana ana hat Linux çekirdeğindedir; derleme adımı yoktur. OpenVPN, eski uyumluluk ve TCP tabanlı trafik için kullanışlı olmayı sürdürür; diğer her şey için WireGuard modern varsayımdır.

ISP'm VPN çalıştırdığımı biliyor mu?

ISP'niz, bir NordBastion IP'sine giden 51820 portunda şifreli UDP trafiği görür. Bu model VPN trafiği olarak tanınabilir; diğer taraftaki ise tanınamaz. Bağlamınızda "VPN çalıştırmak" hassas ise, WireGuard'ı 443 portunda çalıştırın (TCP değil UDP konuşur, ancak port HTTPS ile aynıdır) ve ISP aktif olarak WireGuard el sıkışmalarını engelliyorsa udp2raw gibi bir gizleme sarmalayıcısı düşünün.

VPS'yi VPN OLARAK ve diğer şeyler için sunucu olarak kullanabilir miyim?

Evet, yaygın bir düzen. VPS, WireGuard artı ihtiyacınız olan her şeyi çalıştırır — kişisel bir web sitesi, Bitcoin düğümü, Mastodon örneği. Güvenlik duvarı kuralları VPN trafiğini ve herkese açık servisleri izole tutar; iptables/nft, VPN istemcilerini belirli yerel servislere yönlendirebilir, diğerlerine değil.

IP coğrafi konumu hakkında — siteler beni İsveç'te mi sanacak?

Evet — çıkış IP'niz seçtiğiniz NordBastion bastiyonudur. IP ile coğrafi sınır belirleyen akış hizmetleri sizi İsveçli (Stockholm bastiyonu), Finlandiyalı (Helsinki), Norveçli (Oslo) veya İzlandalı (Reykjavík) olarak değerlendirir. "Yeni ülkeden oturum açıldı" işareti koyan bankacılık siteleri dolandırıcılık kurallarını tetikler; bu normal davranıştır, bir VPN sorunu değil.

Bir WireGuard sunucusu kaç istemciyi karşılayabilir?

Kişisel kullanım için pratikte sınırsız. Her eş birkaç KB bellek ekler. Kısıtlama, WireGuard daemon'ının kendisi değil bant genişliği ve bastionun uplink'idir. Sınırsız bant genişliği ve 1 Gbps uplink ile Sentinel kademesi, WireGuard işlemi fark etmeden çok önce doyuma ulaşır.

Bunu ayrı bir VPS'te mi çalıştırmalıyım, yoksa diğer iş yükleriyle paylaşmalı mıyım?

OPSEC perspektifinden özel bir VPS daha temizdir — IP'nin ilişkili olduğu tek şey "kişisel VPN'm"dır. İş yüklerini karıştırırsanız, VPN trafiği ile diğer iş yükünün trafiği ortak bir giden IP paylaşır ve herhangi birindeki itibar sorunu diğerine sıçrar. Aylık 5,90 dolar için bunları ayrı tutmak makuldür.

Kendi barındırmalı WireGuard kill-switch yapabilir mi?

Evet, istemci tarafında. WireGuard yapılandırmaları, tünel aktifken VPN dışı trafiği düşüren iptables kuralları eklediğiniz bir PostUp / PostDown bloğunu destekler; ayrıca istemci işletim sistemini varsayılan olarak VPN dışı bağlantıları reddetmeye ayarlayabilirsiniz. Birkaç açık kaynaklı yönetici uygulaması (wg-easy, WireGuard-UI, Pi-VPN) bunu sizin için sarar.

Hazır

Bir Sentinel sipariş edin ve kendi VPN'inizi başlatın.

VPS kataloğunu inceleyin Ardından: VPS'i güçlendirin Ya da: Tor gizli servisi

Son inceleme · 2026-05-20 · Test edildi · Debian 12 · WireGuard 1.0.20210914

Part of the series

Anonymous VPS hosting in 2026 — the cluster.

This guide is one spoke of a larger series. The pillar walks the three privacy layers end to end — the sibling spokes below dive into the specifics.

Sütun rehberi
Read the pillar · Anonymous VPS hosting in 2026

Three independent layers — signup, payment, network — explained, legal context included, common mistakes flagged.

Open the pillar
Self-host · network
Tor hidden service on a VPS

A v3 .onion address that survives reboots and IP changes.

Continue →
Fundamentals
No-KYC VPS, explained

What “no KYC” actually means — and what it does not.

Continue →
Fundamentals
Nordic jurisdictions for privacy hosting

Why Sweden, Finland, Norway and Iceland — the legal floor of each.

Continue →
Ödemeler
How to pay a VPS with Monero

XMR end-to-end — wallet, transfer, confirmations, change.

Continue →