Ticari bir VPN, güven sorununu bir sağlayıcı kadar yana taşır. WireGuard'ı KYC gerektirmeyen bir Nordic VPS'de kendi başınıza barındırmak, güveni aritmetikle değiştirir; sizin anahtarlarınız, sizin sunucunuz, sizin çıkış IP'niz ve kimsenin yinelenen kredi kartı ödemesi yok.
Milisaniyenin altında çekirdek-yerel WireGuard — kullanıcı alanı köprüsü yok, TUN darboğazı yok, çekirdek başına birkaç gigabit düz metin.
Cihazlarınızın gerçekten güvenebileceği Nordic çıkış IP'leri — Stockholm, Helsinki, Oslo veya Reykjavík; barındırıcılar için veri saklama zorunluluğu bulunmayan yargı bölgeleri.
Kimseye kimlik borçlu olmayan aylık 5,90 $ bir VPS üzerine kurulu — Bitcoin veya Monero ile ödendi, kayıtlı kart yok, otomatik yinelenen ücretlendirme yok.
Ticari bir VPN sağlayıcısı size bir söz satar: "günlük tutmuyoruz." Bu sözü, pazarlama sitelerini, son denetimlerini (varsa) okuyarak ve o günden bu yana ne şirketin ne de ana şirketin el değiştirmediğine güvenerek doğrularsınız. Söz dışarıdan doğrulanamaz; "günlük yok" iddiasını onaylayabilecek tek varlık, aksini kabul etmekle her şeyini kaybedecek olandır.
Kendi barındırdığınız WireGuard sunucusu, sözü yapıyla değiştirir. Daemon'ı siz kurarsınız, anahtarları siz oluşturursunuz, eş listesini siz yazarsınız. Anahtarlar kutundan asla çıkmaz. Herhangi bir şeyi günlüğe kaydedecek bir yukarı yönlü sağlayıcı yoktur; çünkü yukarı yönlü sağlayıcı yoktur; yalnızca bir Linux çekirdek modülü ve tek bir yapılandırma dosyası vardır.
Takas operasyoneldir. Nöbetçi siz olursunuz. VPS yeniden başlarsa ve wg0 biriminiz önyükleme sırasında etkin değilse, tüneliniz sizin müdahaleniz olmadan geri dönmez. Bir çekirdek güncellemesi sysctl varsayılanını değiştirirse, siz hata ayıklarsınız. Bir kişi ve birkaç cihaz için bu 90 dakikalık bir kurulum ve çeyrek başına ~10 dakika bakımdır; beş kişilik bir aile veya küçük bir ekip için hesaplar hâlâ lehinize çalışır.
Doğru soru soyutta "kendi barındırma mı yoksa ticari mi" değildir — "bir pazarlama sayfasına güvenmekten çok SSH anahtarıyla kendime güveniyor muyum" sorusudur. Yanıt evetse, bu sayfanın geri kalanı tarifidir.
Kişisel VPN için — dizüstü bilgisayarınız, telefonunuz, bir tablet, her zaman tünellenen birkaç cihaz — Sentinel (aylık 5,90 $, 2 vCPU, 4 GB) ideal noktadır. WireGuard'ın çekirdek içi veri yolu o kadar hafiftir ki CPU kısıtlayıcı değildir; kısıtlayıcı olan tek hane için cömert olan 1 Gbps ölçümsüz uplink'tir.
Tünelde beş veya daha fazla cihaz, arkasında yaşayan bir partner veya aile ya da ciddi indirme hacmi iten bir kullanım senaryosu (yedekleme çeken bir homelab, tünelde yaşayan bir torrent istemcisi) — işte o zaman Garrison (aylık 11,90 $, 4 vCPU, 8 GB) değerini kanıtlar. Ekstra RAM WireGuard için değildir — aynı kutuda kaçınılmaz olarak birlikte barındıracağınız her şey için (Pi-hole, küçük bir Mastodon, Uptime-Kuma).
Küçük bir ekip (10–25 eş, sürekli seyahat eden çalışanlar, bir ev laboratuvarına site-to-site bağlantı) Ravelin (aylık 23,90 $, 8 vCPU, 16 GB) ister. Bunun ötesinde, darboğaz VPS olmaktan çıkar ve 1 Gbps uplink'in kendisi olmaya başlar; doğru hamle, bastion bölgesini yükseltmek veya iki bölgesel ağ geçidine bölmektir.
Bunların hiçbirinin olmadığı şey: binlerce eşe sahip kurumsal bir yoğunlaştırıcı. NordBastion, kendi cihazlarına ve gerçekten tanıdığı kişilere sahip tek bir operatör için inşa edilmiştir — yabancılara abonelik satmak için değil.
A skeleton sketch — the full step-by-step guide covers the firewall, the per-device QR codes, and the kill-switch reading list.
Debian/Ubuntu imajı, her NordBastion VPS'inde önceden hazır. Tek bir apt satırı, ekstra repo yok.
# VPS üzerinde, root olarakapt install wireguardSunucu için bir özel anahtar, her eş için birer tane. Özel anahtar, sahibi olan kutundan asla çıkmaz.
wg genkey | tee privkey \
| wg pubkey > pubkeyArayüz stanza'sı: sunucu özel anahtarı, dinleme portu 51820 ve eşlere atayacağınız 10.66.66.0/24 tünel alt ağı.
nano /etc/wireguard/wg0.conf
# [Interface] Address, PrivateKey,
# ListenPort, PostUp NAT rulesPaketle birlikte gelen systemd birimi. Yeniden başlatmalar ve panel tarafından başlatılan kurtarma döngüleri boyunca ayakta kalır.
systemctl enable \
--now wg-quick@wg0Her cihaz için bir [Peer] bloğu, o cihazın genel anahtarı ve tahsis edilmiş tünel IP'siyle. Canlı yeniden yükleme, yeniden başlatma gerekmez.
wg set wg0 peer <PUBKEY> \
allowed-ips 10.66.66.2/32We sign you up with email + password, you top up in Bitcoin or Monero, you boot a VPS. There is no credit-card issuer in the middle who has done KYC on you, no PSP cross-referencing your billing identity with the IP you just lit up. The box belongs to "the prepaid balance under this email", and that is the end of the linkage.
Sweden, Finland, Norway ve Iceland'ın barındırıcılar için veri saklama zorunluluğu yoktur — "ihtimale karşı" bağlantı loglarını tutmamızı isteyen İngiltere Soruşturma Yetkileri Kanunu'na eşdeğer bir yasa yoktur. Bu yasal zeminin üstüne aylık PGP imzalı arama emri kanaryası ve sürekli güncellenen şeffaflık raporu yayımlıyoruz; logların yokluğu yalnızca iddia edilmekle kalmaz, denetlenebilir.
Transfer sınırı yok, bant genişliği aşım ücreti yok, kademeli yükselen adil kullanım tavanı yok. Sentinel, özel katmanlarla aynı 1 Gbps yukarı yönlü bağlantıyla gelir; bu, VPN aktarım hızınızın bir muhasebecinin tablosuyla değil, WireGuard'ın çekirdek veri yolu (çekirdek başına birkaç Gbps) ve yukarı yönlü eşleşme ile sınırlandırıldığı anlamına gelir.
WireGuard VPN'yi kendi barındırmak, küçük bir VPS üzerinde yapabileceğiniz en yüksek kaldıraçlı işlerden biridir. Tek bir ticari VPN aboneliğinin fiyatına, genel amaçlı bir Nordic Linux kutusu elde edersiniz ve bu kutu aynı zamanda sahip olduğunuz her cihaz için çekirdek hızında şifreli bir tünel sunar.
NordBastion bu özel iş için önemli olan kısımlar konusunda güçlü görüşlere sahiptir — KYC-siz kayıt, yalnızca kripto faturalandırma, Nordic yargı bölgesi, ölçümsüz bağlantı — ve geri kalanı için kasıtlı olarak sıradan. VPS bir VPS'dir. Çekirdek bir çekirdektir. WireGuard her yerde olduğu gibi çalışır; farklı olan, diğer tarafın kim olduğu hakkında kibarca soru sorabileceği kişidir.
If you are coming from a commercial VPN, the migration is one afternoon. If you are starting from scratch, the step-by-step guide picks up where this editorial leaves off.
Operatörlerin Nordic bir VPS üzerinde kendi WireGuard VPN'lerini kurmadan önce gerçekten sorduğu sekiz soru.
Ticari bir VPN, güven sorununu bir adım yana taşır: ISP'nize güvenmek yerine, VPN sağlayıcısının günlük tutmayacağına, mahkeme celbi almayacağına ve bunu yapacak bir şirket tarafından satın alınmayacağına güvenirsiniz. KYC gerektirmeyen bir Nordic VPS'de kendi başınıza barındırmak, bu güveni aritmetikle değiştirir; sunucuda shell erişimi olan tek kişi sizsiniz, sunucu için ödeme yapan tek kişi sizsiniz ve sunucu (NordBastion) o "siz"in kim olduğunu zaten bilmemektedir. Ödünleşim şudur: operatör siz olursunuz; Pazar gecesi saat 23:00'da bozulduğunda nöbet rotasyonu tek kişiden oluşur.
Kolaylıkla. WireGuard Linux çekirdeğinde çalışır; bu, tek bir Sentinel çekirdeğinin (Intel Xeon, 3,4 GHz boost) CPU darboğaz haline gelmeden önce hat hızında 5–8 Gbps düzeyinde düz metin şifreleyip yönlendirebildiği anlamına gelir. Hepsi 4K yayın yapsa bile beş eş zamanlı cihaz yük ortalamasına yansımaz. Yükseltme nedeni bant genişliği değildir — VPS'in çekirdekleri kendisi için isteyen başka bir şey de barındırıp barındırmadığıdır (Pi-hole, medya sunucusu, Matrix sunucusu).
Yes — Netflix and a handful of streaming services geofence on ASN, and "this IP belongs to a hosting network" is enough to redirect you to the regional catalogue or the captive 403. Banks are more nuanced: most accept the connection but raise the fraud-score and may trigger a step-up MFA prompt. If your VPN's job is privacy + Nordic egress for browsing and work, this is invisible to you. If its job is Netflix-US, a self-hosted VPS will not solve that — no commercial VPN solves it reliably either; the cat-and-mouse moves faster than anyone's deploy pipeline.
Zorunludur ve VPS'in işi değildir. İstemci tarafını yapılandırın: Linux/Android'de wg-quick post-up güvenlik duvarı kancaları (veya wg0 üzerinden çıkmayan varsayılan rota trafiğini reddeden basit bir iptables/nftables kuralı); iOS/macOS'ta resmi WireGuard uygulaması "On-Demand" + "Exclude routes" seçeneklerini sunar; Windows'ta resmi istemcide "Block untunneled traffic (kill-switch)" geçiş düğmesi bulunur. VPS anahtarları tutar ve paketleri iletir; tünel kapalıyken sızıntıyı reddetmek istemcinin işidir.
Aylık 5,90 $'lık Sentinel, ticari bir VPN aboneliğiyle (NordVPN, Mullvad, IVPN hepsi 5–12 $/ay aralığında) yaklaşık aynı aylık maliyete sahiptir. Değişen, kapsam alanıdır: 50 ülke yerine bir Nordic çıkış IP'si ve yalnızca bir tünel uç noktası yerine tam donanımlı genel amaçlı bir Linux sunucusu elde edersiniz. Tek ihtiyacınız "coğrafi engeli aşmak için başka bir ülkeden görünmek" ise ticari çözüm doğru araçtır. Eğer atlama noktası, izleme kutusu ve kişisel Pi-hole işlevi de gören özel bir VPN istiyorsanız, VPS kazanır.
Hayır; bu yapısal bir gerçektir, bir vaat değil. WireGuard her IP paketini, VPS'inizden hiç çıkmayan özel anahtarınıza bağlı bir ChaCha20-Poly1305 zarfına sarar. NordBastion, ISP'nizin yukarı yönlü bağlantısında gördüğü şeyin aynısını görür: iki IP arasında şifreli UDP. Satır içi şifre çözme noktası yok, yönetilen VPN hizmet düzlemi yok, anahtar emaneti yok. Warrant canary ve yayınlanan şeffaflık raporu, birinin bizi şifreyi çözmeye zorlamaya çalışması halinde ne olacağını açıklamaktadır (yapamayız).
Evet, ve bu yaygın bir yapılandırmadır: WireGuard giriş noktanız olarak UDP/51820 üzerinde dinler, VPS seçili trafiği soğan çıkışlı iş yükleri için yerel Tor SOCKS5'e (port 9050) yönlendirir, geri kalan her şey normal Nordic IP üzerinden çıkar. Sentinel yeterlidir; tek operasyonel not, Tor'a kendi systemd birimini vermek ve VPN aktarım hızının Tor devre artışlarına yem olmaması için hız sınırlaması uygulamaktır. Garrison paketi (11,90 $/ay, 4 vCPU/8 GB) bu kombinasyon için rahat bir yuva sunar.
NordBastion doktrin gereği yalnızca Nordic'tir — Stockholm, Helsinki, Oslo, Reykjavík. Kullanım senaryosu "Singapur'dan görünüyor" veya "Brezilya'dan görünüyor" gerektiriyorsa, o özel çıkış için NordBastion VPS yanlış araçtır. Buraya gelenlerin büyük çoğunluğu tam tersini ister — kararlı, iyi eşlenmiş, düşük log baskılı Nordic çıkışı — ve platform tam da bunu optimize eder.