Alle Systeme betriebsbereit 6 Offshore-Regionen No-KYC-Bezahlvorgang
Praxisnah Praxisleitfaden

Bauen Sie Ihr eigenes VPN: WireGuard auf einem Offshore-VPS

Ein eigenes WireGuard-VPN auf einem Offshore-VPS tauscht das No-Logs-Versprechen eines Anbieters gegen eine Maschine, die Sie von Anfang bis Ende kontrollieren. Diese Anleitung führt durch die komplette Einrichtung auf einem No-KYC-VPS ab $8.00/Mon. — Kernel-Installation, Schlüsselerzeugung, Server- und Client-Konfiguration, eine ufw-Firewall und ein Handy-QR-Code mit qrencode — und sagt dann klar, was ein Einzelnutzer-Tunnel verbirgt und was nicht, denn Ihre Exit-IP gehört Ihnen allein.

Aktualisiert 2026-06-10 · 11 Min. Lesezeit · Flottenbetrieb
Auf dieser Seite
  1. Warum ein eigenes VPN betreiben
  2. Was ein selbst gehosteter Tunnel verbirgt — und was nicht
  3. Wählen Sie zuerst Standort und Tarif
  4. Wie die Teile zusammenpassen
  5. Härten Sie den Server, wenn Sie schon dabei sind
  6. Weitere Geräte hinzufügen und den Betrieb aufrechterhalten
  7. Wann ein kommerzielles VPN oder Tor das bessere Werkzeug ist
  8. Schritt für Schritt
SP·01

Warum ein eigenes VPN betreiben

Ein kommerzielles VPN verlangt, dass Sie der No-Logs-Behauptung eines einzigen Unternehmens vertrauen — über Tausende von Nutzern hinweg, die sich eine Handvoll Exit-IPs teilen. WireGuard auf einem Offshore-VPS selbst zu hosten dreht dieses Vertrauensmodell um: Sie halten die Schlüssel, Sie legen die Logging-Richtlinie fest, und die einzigen Metadaten, die existieren, sind die Metadaten, die Sie behalten wollen. Für manche Bedrohungsmodelle ist das der richtige Kompromiss — Sie hören auf, Marketing-Texten zu vertrauen, und beginnen, Ihrer eigenen Konfiguration sowie dem Rechtsraum zu vertrauen, in dem der Server steht.

WireGuard ist die moderne Wahl für diese Aufgabe. Es sind ein paar tausend Zeilen geprüfter Kernel-Code mit einer winzigen Angriffsfläche neben OpenVPN oder IPsec, und es bringt feste, moderne Kryptografie mit — Curve25519, ChaCha20-Poly1305, BLAKE2s — sodass es keine Cipher-Suite gibt, die man in etwas Schwaches fehlkonfigurieren könnte. Handshakes sind schnell, das Roaming zwischen WLAN und Mobilfunk ist nahtlos, und ein inaktiver Tunnel kostet fast nichts. Auf einem Offshore-VPS erhalten Sie einen dedizierten Exit in einem Rechtsraum, den Sie aus 6 Regionen wählen, online in etwa 15 min, mit der 1.5 Tbps L3/4-Mitigation und einem ungedrosselten Port als Standard bei jedem Tarif.

SP·02

Was ein selbst gehosteter Tunnel verbirgt — und was nicht

Seien Sie ehrlich über das Modell, bevor Sie es aufbauen. Ein selbst gehosteter Tunnel verschlüsselt alles zwischen Ihrem Gerät und dem VPS, verbirgt es vor Ihrem lokalen Netzwerk und Ihrem ISP und ersetzt Ihre Heim-IP für alles, was Sie darüber leiten, durch die VPS-IP. Das ist auf feindlichem WLAN wirklich nützlich, um eigene Dienste hinter einer stabilen Adresse zu erreichen oder um Ihren Zugangs-ISP aus Ihrem Surfverhalten herauszuhalten.

Was er nicht tut, ist, Sie anonym zu machen. Die Exit-IP gehört Ihnen allein — es gibt keine Menge anderer Nutzer, in der man untertauchen könnte, sodass jeder, der beide Enden der Verbindung korrelieren kann oder eine verbindliche Anordnung gegen den Hoster erwirkt, diese Adresse Ihrem Konto zuordnen kann. Auf Hoster-Seite ist die Haltung fest: DMCA-Hinweise werden weder bearbeitet noch beantwortet — der DMCA ist ein US-Gesetz ohne Geltung in unseren Rechtsräumen, und wir handeln nur auf eine verbindliche Anordnung eines Gerichts mit Zuständigkeit für den konkreten Server hin. Das schützt Sie vor automatisierten Takedown-Robotern; es macht aus einem Einzelnutzer-VPN kein Anonymitätswerkzeug. Ist Ihr Gegner ein globaler passiver Beobachter, greifen Sie stattdessen zu Tor. Ein selbst gehosteter Tunnel ist ein Werkzeug für Vertraulichkeit und Kontrolle, kein Tarnmantel.

SP·03

Wählen Sie zuerst Standort und Tarif

Ein persönliches VPN ist bandbreiten-, nicht CPU-gebunden, also ist der kleinste Tarif mehr als genug — der Drift-VPS für $8.00/Mon. sättigt seinen Port lange bevor die vCPU ins Schwitzen kommt. Stecken Sie Ihr Entscheidungsbudget stattdessen ins Wo. Setzen Sie den Server nah an sich, wenn die Latenz bei interaktiver Nutzung zählt, oder weit weg, wenn die rechtliche Distanz wichtiger ist als die Round-Trip-Zeit.

Rumänien und die Niederlande rechnen zum Basistarif ab und bieten die beste europäische Anbindung; die Schweiz, Island, Malaysia und Panama erheben einen regionalen Aufschlag, der live im Konfigurator angezeigt wird. Malaysia ist die Asien-Pazifik-Wahl; Panama und Island zielen am stärksten auf rechtliche Distanz. Wenn Sie unsicher sind, geht der Begleit-Guide welchen Offshore-Standort sollten Sie wählen? die Abwägungen Region für Region durch. Wofür Sie sich auch entscheiden: Laden Sie Ihr Guthaben ab $30.00 mit Krypto auf und stellen Sie bereit — es gibt keine Identitätsprüfung und keine hinterlegte Karte.

SP·04

Wie die Teile zusammenpassen

WireGuard modelliert ein VPN als eine Menge von Peers, jeder durch einen öffentlichen Schlüssel identifiziert, die über eine virtuelle Schnittstelle (hier wg0) kommunizieren. Der Server erhält ein privates Subnetz — etwa 10.66.0.0/24 plus eine IPv6-ULA — und jeder Client nimmt eine Adresse darin. Der [Interface]-Block des Servers enthält dessen privaten Schlüssel und Listen-Port; jeder Client ist ein [Peer]-Block, der den öffentlichen Schlüssel dieses Clients und die Adressen trägt, die er verwenden darf.

Auf der Client-Seite macht AllowedIPs = 0.0.0.0/0, ::/0 daraus ein Full-Tunnel-VPN: Es weist den Client an, allen Verkehr durch wg0 zu leiten. Der Server NATet diesen Verkehr dann über seine echte Netzwerkschnittstelle mit einer Masquerade-Regel hinaus, weshalb IP-Forwarding im Kernel aktiviert sein muss. PersistentKeepalive = 25 hält den Pfad durch zustandsbehaftete Firewalls und Carrier-NAT offen. Setzen Sie DNS auf dem Client auf einen Resolver, dem Sie vertrauen, damit Abfragen innerhalb des Tunnels reisen, statt an Ihr lokales Netzwerk zu lecken. WireGuard selbst ist verbindungslos — es gibt keine langlebige Sitzung, die abbrechen könnte, sodass die Verbindung einen schlafenden Laptop oder ein Handy übersteht, das von WLAN auf Mobilfunk wechselt, ganz ohne Wiederverbindungstanz. Hat ein Pfad eine ungünstige MTU und stocken große Pakete, behebt das Absenken der Client-Schnittstellen-MTU auf etwa 1380 das meist. Verstehen Sie diese vier Ideen — Schnittstelle, Peers, AllowedIPs, Masquerade — und die Konfiguration unten liest sich wie Prosa.

SP·05

Härten Sie den Server, wenn Sie schon dabei sind

Ein VPN-Endpunkt sollte abgesichert werden. Stellen Sie SSH auf reine Schlüsselauthentifizierung um und deaktivieren Sie Passwort- und Root-Logins in /etc/ssh/sshd_config (PasswordAuthentication no, PermitRootLogin prohibit-password), und laden Sie dann sshd neu. Halten Sie die Firewall auf Default-Deny: Die einzigen eingehenden Ports, die eine WireGuard-Box braucht, sind SSH und UDP 51820. Alles andere bleibt geschlossen.

Halten Sie die WireGuard-Schlüsseldateien auf 0600 — die umask 077 in den folgenden Schritten erledigt das — und kopieren Sie niemals einen privaten Schlüssel von dem Host weg, zu dem er gehört. Aktivieren Sie unbeaufsichtigte Sicherheitsupdates, damit der Kernel und das wireguard-Paket gepatcht bleiben, ohne dass jemand aufpassen muss. Testen Sie auf DNS-Leaks, sobald der Tunnel steht — eine Abfrage, die über Ihren gewählten Resolver aufgelöst wird und nicht über Ihren Zugangs-ISP, bestätigt, dass die Anfragen wirklich innerhalb von wg0 bleiben. Wenn Sie später weitere Dienste exponieren, fügen Sie fail2ban und dienstspezifische Regeln hinzu, anstatt die Firewall zu öffnen. Nichts davon hängt vom Host ab: Der VPS gehört Ihnen, root gehört Ihnen, und die 99.9%-Verfügbarkeitszusage hält die Box erreichbar, sodass Ihr Tunnel aktiv bleibt.

SP·06

Weitere Geräte hinzufügen und den Betrieb aufrechterhalten

Jedes Gerät, das sich verbindet, braucht sein eigenes Schlüsselpaar und seinen eigenen [Peer]-Block auf dem Server, jeweils mit einer eindeutigen Adresse innerhalb des Subnetzes — ein Schlüsselpaar über einen Laptop und ein Telefon hinweg wiederzuverwenden bricht das Roaming und erschwert jede Fehlersuche. Erzeugen Sie ein frisches client2.key/client2.pub-Paar, hängen Sie einen Peer an und laden Sie entweder das Interface mit wg syncconf wg0 <(wg-quick strip wg0) neu oder starten Sie es mit systemctl restart wg-quick@wg0 neu.

Bei Telefonen können Sie das Kopieren von Dateien ganz weglassen: Geben Sie die Client-Konfiguration auf dem Server mit qrencode -t ansiutf8 < client.conf als QR-Code aus und scannen Sie ihn direkt in die offizielle WireGuard-App. Um zu sehen, wer verbunden ist und wann jeder Peer zuletzt einen Handshake durchgeführt hat, führen Sie wg show aus — das ist die gesamte Überwachungsgeschichte für ein persönliches Deployment. Snapshots vor einem Kernel-Upgrade geben Ihnen ein sauberes Rollback, falls eine neue Version je Probleme macht.

SP·07

Wann ein kommerzielles VPN oder Tor das bessere Werkzeug ist

Self-Hosting ist nicht immer die Antwort, und etwas anderes vorzugeben wäre unehrlich. Wenn Ihr Ziel ist, in einer Menge zu verschwinden, gibt Ihnen ein seriöses VPN mit mehreren Nutzern gemeinsam genutzte Exit-IPs, die viele Menschen gleichzeitig verwenden — ein Single-Tenant-Tunnel kann das nicht bieten. Wenn Sie auf Abruf zwischen Exit-Ländern wechseln müssen, ist ein kommerzieller Dienst mit einer App zum Umschalten per Klick schlicht bequemer als das Hochfahren von Boxen. Und wenn Sie echte Anonymität gegenüber einem gut ausgestatteten Gegner brauchen, ist Tors Onion-Routing genau für das Korrelationsproblem ausgelegt, das ein selbst gehostetes VPN nicht lösen kann.

Wo Self-Hosting punktet, sind Kontrolle und Vertraulichkeit: Sie vertrauen niemand anderem mit dessen Logging-Richtlinie, Sie erhalten eine stabile dedizierte IP für Administration und Allowlists, und Sie entscheiden über die Jurisdiktion. Viele Menschen betreiben beides — einen selbst gehosteten Tunnel für die alltägliche Vertraulichkeit und Tor für die seltene Aufgabe, die Anonymität erfordert. Wählen Sie das Werkzeug, das zur Bedrohung passt, nicht das mit der besten Landingpage.

SP·08

Schritt für Schritt

  1. 01

    Den VPS bereitstellen und WireGuard installieren

    Stellen Sie einen VPS mit Debian 13 oder Ubuntu 24.04 bereit, melden Sie sich als root über SSH an, und aktualisieren und installieren Sie dann die zwei Pakete, die Sie brauchen.

    apt update && apt full-upgrade -y
apt install -y wireguard qrencode
  2. 02

    IP-Forwarding aktivieren

    Ein Full-Tunnel-VPN leitet den Client-Verkehr über das Interface des Servers nach außen, daher muss der Kernel das Forwarding für IPv4 und IPv6 erlauben.

    cat > /etc/sysctl.d/99-wg.conf <<'EOF'
net.ipv4.ip_forward=1
net.ipv6.conf.all.forwarding=1
EOF
sysctl --system
  3. 03

    Die Server-Schlüssel erzeugen

    Arbeiten Sie in /etc/wireguard mit einer strengen umask, damit jede Schlüsseldatei auf 0600 landet.

    cd /etc/wireguard
umask 077
wg genkey | tee server.key | wg pubkey > server.pub
  4. 04

    Ein Client-Schlüsselpaar erzeugen

    Jedes Gerät bekommt sein eigenes Schlüsselpaar. Erstellen Sie jetzt das erste.

    wg genkey | tee client.key | wg pubkey > client.pub
  5. 05

    Die Server-Konfiguration schreiben

    Finden Sie Ihr echtes Netzwerk-Interface mit ip route get 1.1.1.1 und ersetzen Sie unten eth0, falls es abweicht (oft ist es enp1s0). Die $(cat ...)-Aufrufe binden die soeben erstellten Schlüssel inline ein.

    cat > /etc/wireguard/wg0.conf <<EOF
[Interface]
Address = 10.66.0.1/24, fd86:ea04:1115::1/64
ListenPort = 51820
PrivateKey = $(cat server.key)
PostUp = iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE; ip6tables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE; ip6tables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
PublicKey = $(cat client.pub)
AllowedIPs = 10.66.0.2/32, fd86:ea04:1115::2/128
EOF
  6. 06

    Die Client-Konfiguration schreiben

    Erstellen Sie client.conf im selben Verzeichnis. Fügen Sie den Inhalt von client.key und server.pub an den gezeigten Stellen ein und setzen Sie Endpoint auf die öffentliche IP Ihres Servers. AllowedIPs = 0.0.0.0/0, ::/0 leitet alles durch den Tunnel.

    [Interface]
PrivateKey = <paste client.key>
Address = 10.66.0.2/32, fd86:ea04:1115::2/128
DNS = 9.9.9.9

[Peer]
PublicKey = <paste server.pub>
Endpoint = YOUR_SERVER_IP:51820
AllowedIPs = 0.0.0.0/0, ::/0
PersistentKeepalive = 25
  7. 07

    Die Firewall öffnen

    Erlauben Sie SSH und den WireGuard-UDP-Port und aktivieren Sie dann ufw. Behalten Sie für alles andere die Default-Deny-Haltung bei.

    ufw allow OpenSSH
ufw allow 51820/udp
ufw enable
  8. 08

    Den Tunnel hochfahren

    Aktivieren Sie das Interface, sodass es Neustarts übersteht, und bestätigen Sie dann Peers und Handshakes.

    systemctl enable --now wg-quick@wg0
wg show
  9. 09

    Ein Telefon mit einem QR-Code verbinden

    Geben Sie die Client-Konfiguration als scanbaren Code aus und importieren Sie ihn in die mobile WireGuard-App — keine Dateiübertragung nötig.

    qrencode -t ansiutf8 < client.conf
SP·09 — FAQ

Schnelle Antworten

Macht mich ein selbst gehostetes VPN anonym?

Nein. Die Exit-IP gehört Ihnen allein, ohne andere Nutzer, unter die man sich mischen könnte, daher bietet sie Vertraulichkeit und Kontrolle — keine Anonymität. Ein Gegner, der beide Enden der Verbindung korrelieren kann, kann die IP Ihnen zuordnen. Für Anonymität gegenüber einem fähigen Gegner nutzen Sie Tor; nutzen Sie einen selbst gehosteten Tunnel, um Ihren Verkehr von feindseligen Netzwerken und Ihrem Zugangs-ISP fernzuhalten.

Welchen Tarif brauche ich für ein persönliches VPN?

Den kleinsten. Ein VPN ist bandbreitengebunden, nicht CPU-gebunden, daher wird der Drift-VPS für $8.00/Monat seinen ungedrosselten Port längst auslasten, bevor die vCPU zum Engpass wird. Die 1.5 Tbps-L3/4-Mitigation ist standardmäßig dabei, sodass der Endpunkt auch unter Störlast erreichbar bleibt.

Kann ich mein Telefon und meinen Laptop zum selben Tunnel hinzufügen?

Ja — geben Sie jedem Gerät sein eigenes Schlüsselpaar und seinen eigenen [Peer]-Block mit einer eindeutigen Adresse innerhalb des Subnetzes. Bei Telefonen geben Sie die Konfiguration mit qrencode aus und scannen sie in die WireGuard-App. Ein Schlüsselpaar über Geräte hinweg wiederzuverwenden bricht das Roaming, erzeugen Sie also immer ein frisches Paar pro Gerät.

Loggen Sie meinen VPN-Verkehr?

Wir können nicht in Ihren Tunnel hineinsehen — der VPS gehört Ihnen, root gehört Ihnen, und der WireGuard-Verkehr ist zwischen Ihren Geräten und dem Server Ende-zu-Ende verschlüsselt. Was wir als Host vorhalten, beschränkt sich auf Kontodaten, die auf der No-KYC-Richtlinienseite aufgeschlüsselt sind. Welches Logging auf dem Server stattfindet, ist ganz Ihre Konfiguration.

SP·10 — VERWANDTES

Weiterlesen

Welchen Offshore-Standort sollten Sie wählen?Gerichtsbarkeiten

Welchen Offshore-Standort sollten Sie wählen?

Ein Entscheidungsbaum für die Wahl einer Offshore-Region über sechs Gerichtsbarkeiten hinweg — nach Latenz, Datenschutzrecht, Dedicated-Verfügbarkeit und APAC-Reichweite, mit erklärter Preisgestaltung.

8 min · 2026-06-10Lesen Ihren Namen vom Server fernhalten: ein praktischer LeitfadenPraxisnah

Ihren Namen vom Server fernhalten: ein praktischer Leitfaden

Wie Sie einen Server privat und legal besitzen: Domain-WHOIS-Privatsphäre, No-KYC-Hosting, Monero-Zahlung und die operative Hygiene, die die Kette zusammenhält.

9 min · 2026-06-10Lesen
Offshore-VPS-Tarife ab $8.00/Monat Unsere No-KYC-Richtlinie

In die Praxis umsetzen

VPS in 15 min online, dedizierter Server übergeben in 2–12 h. Laden Sie ab $30.00 in Krypto auf — ohne angehängte Identität.

Einen VPS bereitstellen