Соберите свой VPN сами: WireGuard на офшорном VPS

Зачем запускать собственный VPN

Коммерческий VPN просит вас довериться заявлению одной компании об отсутствии логов в отношении тысяч пользователей, делящих горстку выходных IP. Самостоятельный запуск WireGuard на офшорном VPS переворачивает эту модель доверия: ключи держите вы, политику логирования задаёте вы, и единственные существующие метаданные — это те, которые вы решаете хранить. Для некоторых моделей угроз это правильный компромисс — вы перестаёте доверять рекламным текстам и начинаете доверять собственной конфигурации плюс юрисдикции, в которой стоит сервер.

WireGuard — современный выбор для этой задачи. Это несколько тысяч строк проверенного кода ядра с крошечной поверхностью атаки по сравнению с OpenVPN или IPsec, и он поставляется с фиксированной современной криптографией — Curve25519, ChaCha20-Poly1305, BLAKE2s — так что нет набора шифров, который можно настроить во что-то слабое. Рукопожатия быстрые, переключение между Wi-Fi и мобильной сетью бесшовное, а простаивающий туннель почти ничего не стоит. На офшорном VPS вы получаете выделенный выход в юрисдикции, которую выбираете из 6 регионов, онлайн примерно за 15 min, с защитой L3/4 1.5 Tbps и нелимитированным портом — стандарт на каждом тарифе.

Что скрывает самостоятельно размещённый туннель — и что не скрывает

Будьте честны насчёт модели, прежде чем её строить. Самостоятельно размещённый туннель шифрует всё между вашим устройством и VPS, скрывая это от вашей локальной сети и интернет-провайдера, и заменяет ваш домашний IP на IP-адрес VPS для всего, что вы через него маршрутизируете. Это действительно полезно во враждебном Wi-Fi, для доступа к собственным сервисам за стабильным адресом или для того, чтобы держать ваш провайдер доступа вне вашего сёрфинга.

Чего он не делает, так это не делает вас анонимным. Выходной IP принадлежит только вам — нет толпы других пользователей, в которой можно раствориться, поэтому любой, кто способен сопоставить оба конца соединения или кто получит обязательное предписание против хостинга, может привязать этот адрес к вашему аккаунту. Со стороны хостинга позиция фиксирована: уведомления DMCA не обрабатываются и не рассматриваются — DMCA это закон США, не имеющий силы в наших юрисдикциях, и мы действуем только по обязательному предписанию суда, обладающего юрисдикцией над конкретным сервером. Это защищает вас от автоматических роботов по удалению контента; но не делает одиночный пользовательский VPN инструментом анонимности. Если ваш противник — глобальный пассивный наблюдатель, обращайтесь к Tor. Самостоятельно размещённый туннель — это инструмент конфиденциальности и контроля, а не плащ-невидимка.

Сначала выберите локацию и тариф

Персональный VPN ограничен пропускной способностью, а не процессором, поэтому самого маленького тарифа более чем достаточно — VPS Drift за $8.00/мес насытит свой порт задолго до того, как vCPU вспотеет. Тратьте бюджет решения на то, где, вместо этого. Разместите сервер ближе к себе, когда задержка для интерактивного использования имеет значение, или дальше от себя, когда юридическая удалённость важнее времени отклика.

Румыния и Нидерланды тарифицируются по базовой ставке и обладают лучшей европейской связностью; Швейцария, Исландия, Малайзия и Панама применяют региональный коэффициент, показываемый вживую в конфигураторе. Малайзия — выбор для Азиатско-Тихоокеанского региона; Панама и Исландия сильнее всего склоняются к юрисдикционной удалённости. Если сомневаетесь, сопутствующее руководство какую офшорную локацию выбрать? разбирает компромиссы регион за регионом. Что бы вы ни выбрали, пополните баланс от $30.00 криптовалютой и разворачивайте — нет проверки личности и нет карты в файле.

Как части складываются вместе

WireGuard моделирует VPN как набор пиров, каждый из которых идентифицируется публичным ключом и общается через виртуальный интерфейс (здесь wg0). Сервер получает приватную подсеть — скажем, 10.66.0.0/24 плюс IPv6 ULA — и каждый клиент берёт один адрес внутри неё. Блок [Interface] сервера содержит его приватный ключ и порт прослушивания; каждый клиент — это блок [Peer], несущий публичный ключ этого клиента и адреса, которые ему разрешено использовать.

На стороне клиента AllowedIPs = 0.0.0.0/0, ::/0 — это то, что делает его полнотуннельным VPN: оно говорит клиенту маршрутизировать весь трафик через wg0. Сервер затем выполняет NAT этого трафика наружу через свой реальный сетевой интерфейс по правилу маскарадинга, поэтому в ядре должна быть включена переадресация IP. PersistentKeepalive = 25 держит путь открытым через файрволы с отслеживанием состояния и NAT оператора. Установите DNS на клиенте на резолвер, которому доверяете, чтобы запросы шли внутри туннеля, а не утекали в вашу локальную сеть. Сам WireGuard не имеет состояния соединения — нет долгоживущей сессии, которая могла бы оборваться, поэтому связь переживает заснувший ноутбук или телефон, переключающийся с Wi-Fi на мобильную сеть, без всякой пляски с переподключением. Если у пути неудобный MTU и большие пакеты застревают, снижение MTU интерфейса клиента примерно до 1380 обычно решает проблему. Усвойте эти четыре идеи — интерфейс, пиры, AllowedIPs, маскарадинг — и конфигурация ниже читается как проза.

Заодно укрепите сервер

Конечную точку VPN стоит как следует закрыть. Переведите SSH на аутентификацию только по ключу и отключите вход по паролю и под root в /etc/ssh/sshd_config (PasswordAuthentication no, PermitRootLogin prohibit-password), затем перезагрузите sshd. Держите файрвол в режиме запрета по умолчанию: единственные входящие порты, нужные узлу WireGuard, — это SSH и UDP 51820. Всё остальное остаётся закрытым.

Храните файлы ключей WireGuard с правами 0600 — об этом позаботится umask 077 в шагах ниже — и никогда не копируйте закрытый ключ с того узла, которому он принадлежит. Включите автоматические обновления безопасности, чтобы ядро и пакет wireguard оставались пропатченными без вашего постоянного присмотра. Проверьте отсутствие утечек DNS, как только туннель поднимется: запрос, который разрешается через выбранный вами резолвер, а не через провайдера вашего доступа, подтверждает, что запросы действительно остаются внутри wg0. Если позже вы откроете другие сервисы, добавьте fail2ban и правила для каждого сервиса вместо того, чтобы расширять файрвол. Ничего из этого не зависит от хостера: VPS ваш, root ваш, а обязательство по аптайму 99.9% держит узел доступным, чтобы ваш туннель оставался поднятым.

Добавьте больше устройств и поддерживайте работу

Каждому подключающемуся устройству нужна своя пара ключей и свой блок [Peer] на сервере, каждый с уникальным адресом внутри подсети — повторное использование одной пары ключей на ноутбуке и телефоне ломает роуминг и запутывает любую диагностику. Сгенерируйте свежую пару client2.key/client2.pub, добавьте peer и либо перезагрузите интерфейс командой wg syncconf wg0 <(wg-quick strip wg0), либо перезапустите его через systemctl restart wg-quick@wg0.

Для телефонов полностью пропустите копирование файлов: отрисуйте конфигурацию клиента в виде QR-кода на сервере с помощью qrencode -t ansiutf8 < client.conf и отсканируйте её прямо в официальное приложение WireGuard. Чтобы увидеть, кто подключён и когда каждый peer в последний раз делал рукопожатие, выполните wg show — это и есть весь мониторинг для личного развёртывания. Снимки перед обновлением ядра дают чистый откат, если новая версия когда-нибудь поведёт себя некорректно.

Когда коммерческий VPN или Tor — лучший инструмент

Самостоятельный хостинг — не всегда ответ, и притворяться иначе было бы нечестно. Если ваша цель — раствориться в толпе, репутабельный многопользовательский VPN даёт общие выходные IP, которыми одновременно пользуется много людей — однопользовательский туннель этого предложить не может. Если вам нужно по запросу переключаться между странами выхода, коммерческий сервис с приложением, где смена делается в один клик, просто удобнее, чем поднимать узлы. А если вам нужна настоящая анонимность против хорошо обеспеченного ресурсами противника, луковая маршрутизация Tor создана именно для той задачи корреляции, которую самостоятельно поднятый VPN решить не способен.

Самостоятельный хостинг выигрывает в контроле и конфиденциальности: вы не доверяете чьей-то чужой политике логирования, получаете стабильный выделенный IP для администрирования и списков разрешённых адресов и сами выбираете юрисдикцию. Многие используют и то, и другое — самостоятельно поднятый туннель для повседневной конфиденциальности и Tor для редких задач, требующих анонимности. Выбирайте инструмент под угрозу, а не тот, у которого лучшая лендинг-страница.

Шаг за шагом

1. 01

   Разверните VPS и установите WireGuard

   Разверните VPS с Debian 13 или Ubuntu 24.04, войдите как root по SSH, затем обновите систему и установите два нужных пакета.

   apt update && apt full-upgrade -y
   apt install -y wireguard qrencode

2. 02

   Включите IP-форвардинг

   Полнотуннельный VPN перенаправляет трафик клиента через интерфейс сервера, поэтому ядро должно разрешать форвардинг для IPv4 и IPv6.

   cat > /etc/sysctl.d/99-wg.conf <<'EOF'
   net.ipv4.ip_forward=1
   net.ipv6.conf.all.forwarding=1
   EOF
   sysctl --system

3. 03

   Сгенерируйте ключи сервера

   Работайте в /etc/wireguard с жёстким umask, чтобы каждый файл ключа создавался с правами 0600.

   cd /etc/wireguard
   umask 077
   wg genkey | tee server.key | wg pubkey > server.pub

4. 04

   Сгенерируйте пару ключей клиента

   Каждое устройство получает свою пару ключей. Создайте первую прямо сейчас.

   wg genkey | tee client.key | wg pubkey > client.pub

5. 05

   Напишите конфигурацию сервера

   Найдите свой реальный сетевой интерфейс командой ip route get 1.1.1.1 и замените eth0 ниже, если он отличается (часто это enp1s0). Вызовы $(cat ...) подставляют только что созданные вами ключи.

   cat > /etc/wireguard/wg0.conf <<EOF
   [Interface]
   Address = 10.66.0.1/24, fd86:ea04:1115::1/64
   ListenPort = 51820
   PrivateKey = $(cat server.key)
   PostUp = iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE; ip6tables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
   PostDown = iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE; ip6tables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
   
   [Peer]
   PublicKey = $(cat client.pub)
   AllowedIPs = 10.66.0.2/32, fd86:ea04:1115::2/128
   EOF

6. 06

   Напишите конфигурацию клиента

   Создайте client.conf в том же каталоге. Вставьте содержимое client.key и server.pub в указанные места и задайте в Endpoint публичный IP вашего сервера. AllowedIPs = 0.0.0.0/0, ::/0 направляет весь трафик через туннель.

   [Interface]
   PrivateKey = <paste client.key>
   Address = 10.66.0.2/32, fd86:ea04:1115::2/128
   DNS = 9.9.9.9
   
   [Peer]
   PublicKey = <paste server.pub>
   Endpoint = YOUR_SERVER_IP:51820
   AllowedIPs = 0.0.0.0/0, ::/0
   PersistentKeepalive = 25

7. 07

   Откройте файрвол

   Разрешите SSH и UDP-порт WireGuard, затем включите ufw. Сохраните политику запрета по умолчанию для всего остального.

   ufw allow OpenSSH
   ufw allow 51820/udp
   ufw enable

8. 08

   Поднимите туннель

   Включите интерфейс, чтобы он переживал перезагрузки, затем проверьте peer'ы и рукопожатия.

   systemctl enable --now wg-quick@wg0
   wg show

9. 09

   Подключите телефон с помощью QR-кода

   Отрисуйте конфигурацию клиента в виде сканируемого кода и импортируйте её в мобильное приложение WireGuard — передача файлов не нужна.

   qrencode -t ansiutf8 < client.conf