无KYC
你的 VPN 在主机商一侧不会留下纸面记录。
我们用邮箱 + 密码为你注册,你用 Bitcoin 或 Monero 充值,你启动一台 VPS。中间没有任何对你做过 KYC 的发卡行,也没有把你的计费身份与你刚点亮的 IP 做交叉比对的支付服务商。机器属于「这封邮件下的那笔预付余额」,关联到此为止。
简而言之
- 01
亚毫秒级、内核原生的 WireGuard——没有用户态桥接、没有 TUN 瓶颈,每核数 Gbps 的明文。
- 02
你的设备真正可以信任的北欧出口 IP——斯德哥尔摩、赫尔辛基、奥斯陆或雷克雅未克,这些司法辖区对主机商没有数据保留强制令。
- 03
建立在一台 $5.90/月 的 VPS 之上,它不欠任何人一份身份——用 Bitcoin 或 Monero 支付,没有卡留底、没有循环自动扣款。
为什么要折腾
究竟为什么要自托管 VPN。
一家商业 VPN 服务商卖给你的是一句承诺:「我们不记录日志」。你验证这一承诺的办法是读他们的营销网站、上一次的审计(如果有过的话),并相信这家公司及其母公司在那之后没有易主。这条承诺在外部是无法验证的——唯一能确认「没有日志」的实体,正是承认否定回答会让自己满盘皆输的那一个。
一台自托管的 WireGuard 服务器用结构取代了承诺。你安装守护进程,你生成密钥,你写 peer 列表。密钥永远不离开机器。没有可以记录任何东西的上游服务商,因为根本没有上游服务商——只有一个 Linux 内核模块和一份单独的配置文件。
代价是运维上的。你成了值班人。如果 VPS 重启而你的 wg0 单元没有开机自启,隧道就不会自动回来。如果一次内核更新改变了某个 sysctl 默认值,你来 debug。对一个人和少数几台设备,这是一次 90 分钟的搭建加上每季度约 10 分钟的维护;对一个五口之家或一个小团队,这笔账依然向你倾斜。
正确的问题不是抽象地讨论「自托管还是商业 VPN」——而是「我相信自己掌握一把 SSH 密钥的程度,是否高于我相信一张营销页面的程度」。如果答案是肯定的,这一页接下来的内容就是配方。
规模选择
为这件事选对 NordBastion 档位。
对于个人 VPN——你的笔记本、手机、平板,几台始终走隧道的设备——Sentinel($5.90/月,2 vCPU、4 GB)是最佳点。WireGuard 在内核中的数据路径轻到 CPU 不会构成约束;约束在于 1 Gbps 不限量上行,对一个家庭来说已相当慷慨。
隧道上有五台或更多设备、伴侣或家人也住在它后面,或者使用场景会推送大量下载(一个 homelab 拉取备份、一个住在隧道里的 torrent 客户端)——这时候 Garrison($11.90/月,4 vCPU、8 GB)就值回票价。多出来的内存不是给 WireGuard 的——而是给你不可避免会在同一台机器上共托管的其他东西(Pi-hole、小型 Mastodon、Uptime-Kuma)。
一个小团队——10–25 个 peer、长期在外的「公路战士」、一条与 homelab 之间的站到站链路——会想要 Ravelin($23.90/月,8 vCPU、16 GB)。在那之上,瓶颈就不再是 VPS,而是 1 Gbps 上行本身,正确的做法是升级所在的据点-区域或拆成两个地区网关。
这些方案都不是什么:一台千 peer 级的企业级集中器。NordBastion 是为一个运维者带着自己的设备和真正认识的人而构建的——而不是为了向陌生人售卖订阅。
搭建
从全新 VPS 到第一次握手。五行,约十分钟。
A skeleton sketch — the full step-by-step guide covers the firewall, the per-device QR codes, and the kill-switch reading list.
-
01
安装 WireGuard
Debian/Ubuntu 镜像,在每台 NordBastion VPS 上都已预装。一条 apt 命令,无需额外仓库。
# 在 VPS 上,以 root 身份apt install wireguard -
02
生成密钥
为服务器生成一把私钥,再为每个 peer 各生成一把。私钥永远不离开拥有它的那台机器。
wg genkey | tee privkey \ | wg pubkey > pubkey -
03
编写 wg0.conf
接口配置段:服务器私钥、监听端口 51820,以及你将分配给 peer 的 10.66.66.0/24 隧道子网。
nano /etc/wireguard/wg0.conf # [Interface] Address, PrivateKey, # ListenPort, PostUp NAT rules -
04
开机自启
随软件包附带的 systemd 单元。能熬过重启和控制面板发起的救援循环。
systemctl enable \ --now wg-quick@wg0 -
05
添加一个 peer
每台设备一个 [Peer] 块,写上该设备的公钥和分配的隧道 IP。可热加载,无需重启。
wg set wg0 peer <PUBKEY> \ allowed-ips 10.66.66.2/32
为什么用这台主机做这件事
为什么特别选 NordBastion 来做 VPN 出口。
北欧司法管辖
按法律也按设计不留日志。
瑞典、芬兰、挪威和冰岛对主机商都没有数据保留强制令——没有英国《调查权力法》那种要求我们「以防万一」保留连接日志的对应物。在那条法律底线之上,我们每月发布一份 PGP 签名的令状金丝雀和滚动更新的透明度报告;日志的缺席是可审计的,而不仅仅是声明。
1 Gbps 不限量
即便是入门档位。
没有传输上限、没有带宽超额条目、没有缓慢蚕食的公平使用顶。Sentinel 拥有与独占档位相同的 1 Gbps 上行——这意味着你 VPN 的吞吐由 WireGuard 的内核数据路径(每核数 Gbps)和上游对等互联决定,而不是由一份会计师的电子表格决定。
结论
在 Sentinel 上运行。用加密货币支付。掌握你自己的密钥。
在一台小型 VPS 上,自托管 WireGuard VPN 是你能做的杠杆率最高的事情之一。用一份商业 VPN 订阅的价格,你就能得到一台通用的北欧 Linux 机器,它顺带为你拥有的每台设备暴露出一条内核级速度的加密隧道。
NordBastion 对这件事真正关键的部分有自己的意见——免 KYC 注册、仅加密货币计费、北欧司法管辖、不限量上行——其余部分则刻意保持平淡。VPS 就是 VPS。内核就是内核。WireGuard 在任何地方都一样地跑;不同的只是谁能客气地询问另一端是谁。
If you are coming from a commercial VPN, the migration is one afternoon. If you are starting from scratch, the step-by-step guide picks up where this editorial leaves off.
常见问题 · 在 VPS 上跑 WireGuard
最先冒出来的那些问题。
运维者在北欧 VPS 上搭建自己的 WireGuard VPN 之前真正会问的八个问题。
为什么要自托管 VPN 而不是付钱给商业服务商?
商业 VPN 只是把信任问题横移了一步:你不再信任你的 ISP,而是改去信任 VPN 服务商不记录日志、不被传唤、也不被收购给一家会做这些事的公司。在一台免 KYC 的北欧 VPS 上自托管,用算术替代了那种信任——能在这台机器上获得 shell 的人只有你,付费的人也只有你,而主机(NordBastion)一开始就不知道那个「你」是谁。代价是你成了运维者:周日晚上 23:00 出故障时,值班轮换只有一个人深。
我的入门档 VPS 撑得住 5 台设备的 WireGuard 吗?
轻轻松松。WireGuard 在 Linux 内核中运行,这意味着 Sentinel 的单核(Intel Xeon,3.4 GHz Boost)在 CPU 成为瓶颈之前,能以线速加密并转发 5–8 Gbps 量级的明文。五台并发设备,哪怕都在串流 4K,在负载平均值上都不会留下痕迹。升级的理由不是吞吐——而是这台 VPS 是否还同时托管其他东西(Pi-hole、媒体服务器、Matrix 服务器)想要占用核心。
NordBastion 的 IP 会被 Netflix / 银行屏蔽吗?
会——Netflix 和少数几家流媒体服务按 ASN 做地理围栏,「这个 IP 属于一个托管网络」就足以把你重定向到地区目录或卡你一个 403。银行更微妙:大多数会接受连接,但会提高欺诈评分,并可能触发一次升级 MFA 提示。如果你的 VPN 是为了隐私 + 北欧出口、用于浏览和工作,这一切对你不可见。如果它的目标是 Netflix 美区,自托管 VPS 解决不了——任何商业 VPN 也都不可能稳定解决;这场猫鼠游戏比任何人的部署流水线都跑得快。
我客户端设备上的 exit kill-switch 怎么办?
是必需的,但不是 VPS 的事。在客户端配置:Linux/Android 上用 wg-quick 的 post-up 防火墙钩子(或一条简单的 iptables/nftables 规则,禁止任何不从 wg0 出去的默认路由流量);iOS/macOS 上官方 WireGuard 应用提供「On-Demand」+「Exclude routes」;Windows 上官方客户端有一个「Block untunneled traffic (kill-switch)」开关。VPS 保管密钥并转发数据包;隧道断开时拒绝漏出去是客户端的事。
在价格上 NordBastion 与商业 VPN 服务商相比如何?
Sentinel $5.90/月 与商业 VPN 订阅(NordVPN、Mullvad、IVPN 都在 $5–12/月 区间)每月开销大致相同。变化的是覆盖面:你得到的是一个北欧出口 IP,而不是 50 个国家,但你拿到的是一台完整的通用 Linux 机器,而不仅是隧道端点。如果你的唯一需求是「看起来从另一个国家访问,绕过地区封锁」,商业 VPN 才是合适的工具。如果你想要一台既是私有 VPN 又能兼作跳板机、监控机和个人 Pi-hole 的机器,VPS 胜出。
VPN 流量对 NordBastion 可见吗?
不可见——而这是结构性的,不是承诺。WireGuard 把每一个 IP 数据包包进一个 ChaCha20-Poly1305 信封,密钥来自你的私钥,而这把私钥永远不离开你的 VPS。NordBastion 在上行链路上看到的与你的 ISP 一样:两台 IP 之间加密的 UDP。不存在串接的解密点、没有托管 VPN 服务面、也没有密钥托管。令状金丝雀和已发布的透明度报告说明了如果有人试图要求我们解密它会发生什么(我们做不到)。
我能在同一台 VPS 上同时跑 WireGuard + Tor 出口吗?
可以,而且这是一种常见模式:WireGuard 在 UDP/51820 上监听作为你的入口,VPS 将选定流量路由进本地 Tor SOCKS5(端口 9050)以服务洋葱出口的工作负载,其余则通过常规的北欧 IP 出站。Sentinel 已经够用;唯一的运维注意事项是给 Tor 一个独立的 systemd 单元并对其限速,以免 VPN 吞吐被 Tor 链路突发吃掉。Garrison 档位($11.90/月,4 vCPU/8 GB)是这一组合舒适的安身之处。
如果我需要的 IP 不在北欧而是别的国家,怎么办?
NordBastion 在理念上仅限北欧——斯德哥尔摩、赫尔辛基、奥斯陆、雷克雅未克。如果你的使用场景要求「看起来从新加坡访问」或「看起来从巴西访问」,NordBastion VPS 对那个具体出口来说就是错误的工具。来到这里的大多数人想要的是相反的东西——一条稳定、对等良好、日志压力低的北欧出口——而这正是该平台所优化的。