“自托管 VPN”对三类不同的受众意味着三件不同的事,而大多数清单式文章之所以失败,正是因为把它们当成同一件事来谈。一个在意隐私、想用自己的出口节点替代商业 VPN 服务的用户,和一个把家庭实验室连接到 AWS 的四人工程团队,要解决的根本不是同一个问题。这些工具有所重叠,但适合某一类任务的工具,很少同样适合另一类任务。
本指南正是围绕这一划分来组织的。三种使用场景、三个主要推荐,以及每一个背后实打实的取舍。这里不讲安装步骤。当你确定了适合自己任务的工具后,下面会附上完整安装指南的链接。
简短版本
- 若是把自己的出口节点用于个人隐私,请在非 Five Eyes 管辖区的小型 VPS 上部署 WireGuard。如果你需要 Web 界面,WireGuard Easy 可以加上。只有当你的网络封锁 UDP 时,才用 OpenVPN。
- 若是用团队网状网络连接笔记本电脑、家庭实验室和云端 VPC,对大多数团队而言,Tailscale 是务实的答案。只有当掌控控制平面是你威胁模型的一部分时,才去运行 Headscale 或 Netmaker。
- 若是身处受限互联网环境的用户,Hiddify Manager 是目前最好的答案。WireGuard 和 OpenVPN 单凭自身无法逃过深度包检测。
- 一台 1 vCPU、512 MB 的 VPS 运行个人 WireGuard 服务器还绰绰有余。瓶颈在带宽,而不在算力。
什么时候自托管 VPN 才真正合理
商业 VPN 给你成千上万个共享出口 IP,且零维护。自托管 VPN 只给你一个 IP、一个位置,外加对这台机器的全部责任。尽管它们常被当作同类产品来营销,但它们其实是不同的产品。
当满足以下任一条件时,自托管是正确的选择:
- 你想把能看到你未加密流量的方数降到最少。用商业 VPN,提供商能看到;用自托管 VPN,只有你能看到。
- 你需要特定的管辖区。法兰克福用于面向 GDPR 的场景,悉尼用于测试有地域限制的澳大利亚服务,瑞士用于更严格的数据保护法(在有库存时)。商业提供商把这一点模糊化,而自托管让它明确可控。
- 你是在连接团队基础设施,而不只是路由个人浏览流量。
- 你身处审查环境,连商业 VPN 本身都被封锁。
在以下情况下,自托管是错误的选择:你想要尽可能多样的 IP 以用于流媒体;你不想维护一台 Linux 服务器;或者你的威胁模型纯粹只是“阻止我的 ISP 出售我的浏览数据”。对于第三种情况,加密 DNS 加上你现有的浏览器就能完成大部分工作。
有一个局限值得早点点明,因为它在许多关于自托管 VPN 的诚实讨论中都会浮现。WireGuard 在设计上 会保留最后一次出现的 IP 地址 ,即在内核状态中保留每个对端的该地址。商业 VPN 提供商可以声称“无日志”,但你无从核实。自托管者可以核实,而核实的结果会告诉你:内核确实知道你的手机今天早上是从哪个 IP 连入的。缓解之道不是无视这一点,而是轮换密钥、按计划删除内核状态,并接受这一取舍。
使用场景一:个人隐私出口节点
快速结论:在非 Five Eyes 管辖区的小型 VPS 上运行 WireGuard。如果你想要 Web 界面而不碰命令行,就用 WireGuard Easy。只有当你所连入的网络封锁了 UDP 时,才用 OpenVPN。
WireGuard:默认之选
对于隐私出口节点这一使用场景,WireGuard 就是正确答案。
该协议使用 Noise 框架进行密钥交换,并在单次往返中完成握手。OpenVPN 使用 TLS,需要多次往返,并在此过程中暴露更多元数据。WireGuard 带来的延迟开销通常为 1 到 3 毫秒 ,叠加在你底层连接之上。OpenVPN 在可比条件下会增加 20% 到 30% 的延迟开销。
吞吐量数据来自 2025 年一项经过同行评审的基准测试,发表于 MDPI 旗下的 Computers 期刊:在相同的 TCP 隧道虚拟机条件下,WireGuard 约为 210 Mbps,而 OpenVPN 约为 110 Mbps。在启用内核模块的裸金属硬件上,原生 WireGuard 在千兆级硬件上可推到约 8 Gbps,此时的瓶颈是网卡,而不是协议。
其代码库约为 4,000 行。OpenVPN 的代码库要大上许多倍。小代码库本身并不等于安全,但它让审计变得可行。WireGuard 已经过审计,它在 5.6 版进入了 Linux 主线内核,并在大多数发行版中作为默认选项。
配置就是一个 12 行的文本文件。它没有理由比这更复杂。完整的安装步骤记录在 我们的博客上,其中涵盖软件包安装、密钥生成、对端配置和防火墙规则。
一台便宜、简单的 VPS 运行个人 WireGuard 服务器,带宽还有富余。瓶颈会是你家里的互联网连接,而不是服务器。对大多数读者来说,一台便宜的 VPS 足以运行他们的 WireGuard 配置,而且绰绰有余。
专业提示:WireGuard 会在内核状态中记录每个对端最后一次出现的 IP 地址。要做到真正的无日志隐私,请接受这一点并轮换密钥,或按计划删除内核状态。不要假装这个局限不存在。Proton VPN 的 WireGuard 隐私技术说明在他们自己的部署中也承认了这一点。
带 Web 界面的 WireGuard
如果用命令行管理对端不合你胃口,有两个封装工具值得了解。
WireGuard Easy 是一个 Docker 容器,提供一个 Web 管理面板。它会生成对端配置、为移动客户端打印 QR 码,并把一切都存放在单个配置卷中。安装很快。它适合个人使用和小型家庭。
WGDashboard 是一个更重的替代方案。支持更多对端、更多管理功能,也需要更多安装时间。如果你要管理 20 个以上的对端,它就值得;否则 WireGuard Easy 就够了。
OpenVPN 仍有用武之地的场景
OpenVPN 并未过时。它在两种特定场景中依然存活。
第一种是封锁 UDP 的受限网络。WireGuard 在设计上只走 UDP。企业网络、酒店 WiFi 和某些移动运营商会封锁除 DNS 之外的所有 UDP 流量。OpenVPN 可以在 port 443 上走 TCP,这有助于它穿过许多受限防火墙。如果你经常从在 UDP 上为难你的网络连接,OpenVPN 就是后备方案。
第二种是广泛的旧版客户端支持。过去十五年间运行过的每一种操作系统都有 OpenVPN 客户端,包括 WireGuard 并不针对的平台。如果你的用户群里有较老的手机或专用设备,OpenVPN 的兼容性更广。
OpenVPN Access Server 在协议之上加了一个 Web 管理界面,并对两个并发连接免费。超过两个连接后,许可按用户计费。Pritunl 是第三种选择,它为 OpenVPN 和 WireGuard 都提供了相当的管理面板,且不按用户收费。对于个人使用,OpenVPN AS 的免费档就够了。对于已经放弃 Tailscale 的小团队,Pritunl 是更清爽的选择。原生 OpenVPN 的完整安装步骤涵盖在我们这篇关于 在 VPS 上安装 OpenVPN.
选择位置
在这种规模下,管辖区比吞吐量更重要。如果你自托管的部分原因是减少在情报共享安排中的暴露,那么相关的组织就是 Five Eyes 联盟(美国、英国、加拿大、澳大利亚、新西兰)及其扩展伙伴。法兰克福和阿姆斯特丹是欧洲常见的非 Five Eyes 选择。如果你的流量在中东地区,迪拜值得考虑。瑞士和新加坡有更强的数据保护框架,但在较小的提供商那里往往缺货。
如果 WireGuard 符合你的需求,我们的 一键 WireGuard VPS 能让你跳过安装过程,几分钟内完成部署。
使用场景二:团队网状组网
快速结论:大多数团队用 Tailscale。如果你需要掌控控制平面,就用 Headscale 或 Netmaker。只有当你的节点少于 10 个、并且有耐心时,才用原生 WireGuard 网状网络。
三名远程工程师、一个家庭实验室、一台位于 AWS 的预发布服务器,外加一台放在托管机架里的数据库虚拟机。这五台机器需要在不暴露公网端口的情况下互相通信。它们都没有稳定的公网 IP。其中两台还处在 Carrier-Grade NAT 之后。
这正是 WireGuard 网状网络在规模化时无法优雅解决的问题。
为什么原生 WireGuard 网状网络在规模化时会很痛苦
网状网络要求每个对端都知道其他所有对端。WireGuard 的配置格式直接反映了这一点:每个对端对它要通信的每个节点都有一个 [Peer] 段。五个节点意味着每个配置文件有四个 [Peer] 块,而整个网状网络需要维护的配置总数是 N 乘以(N 减 1)再除以 2。
在五个节点时,那就是 10 对连接。10 个节点时是 45 对。20 个节点时是 190 对。这种增长是二次方的。向一个 20 节点的网状网络添加单个节点,就需要更新 20 个配置文件并重启 20 个守护进程。移除一个密钥也是同样的工作量。
wg-meshconf 和 Netmaker 这类工具的存在,正是为了把这件事自动化。
Tailscale:给大多数团队的诚实推荐
对大多数团队来说,Tailscale 确实足够好。控制平面由 Tailscale 托管,数据平面是直接的点对点,免费档覆盖 100 台设备。安装不到五分钟。NAT 穿透在大多数网络环境中无需配置即可工作。ACL 集中管理。
诚实的提醒:控制平面是一个第三方依赖。Tailscale 分发连接你设备的 WireGuard 密钥。如果 Tailscale 的协调服务器被攻破,攻击者原则上可以把自己插入网状网络。Tailscale 发布了详细的威胁模型文档,承认了这一点,并用 tailnet 锁和节点证明来加以加固。对大多数团队来说,这种依赖是可以接受的。对于威胁模型中包含国家级攻击者,或对协调元数据有严格监管要求的团队来说,则不可接受。
Tailscale 的数据平面在可能时会绕过该公司的服务器。当直接的点对点失败时,流量会回退到 Tailscale 的 DERP 中继服务器,而这些服务器被限速到约 5 Mbps。如果由于 NAT 异常,你的两个节点总是落到 DERP 上,这个中继限速就会成为瓶颈。
专业提示:如果你家里的 ISP 使用 Carrier-Grade NAT,你就无法在家中接受入站连接。Tailscale 和 Headscale 会通过打洞和 DERP 回退自动处理这一点。原生 WireGuard 则需要一台可公网访问的 VPS 作为中继,而家中节点作为客户端发起出站连接。
Headscale:当你需要掌控控制平面时
Headscale 是对 Tailscale 协调服务器的开源重新实现。Tailscale 的官方客户端连接到 Headscale,而不是 Tailscale 托管的服务器,面向用户的体验也类似。但它有一个关键的取舍:控制平面由你自己运营,这意味着可用性、升级和安全补丁都是你的事。
Headscale 在打磨上不及 Tailscale。ACL 配置是 YAML 和 CLI,而不是 Web 界面。偶尔会冒出一些 MagicDNS 的边界情况,而官方客户端在托管版本中会悄无声息地处理掉它们。这个项目维护良好,在有需要的组织中投入生产运行,适合那些威胁模型或合规要求需要自托管协调的团队。
Headscale 的维护是一项持续的工作。如果你更愿意把它卸下来,一台 Linux VPS 配备 99.95% 正常运行时间 SLA 和 7×24 支持,可承担控制器的工作负载,而无需你随时待命。控制器本身很轻,因为它只处理协调;真正的网状网络流量是点对点的。
Netmaker
Netmaker 是另一种协调层,它运行在 WireGuard 之上,而不是去重新实现 Tailscale。这种架构差异很有意义:当直接的点对点失败时,Netmaker 可以通过自托管的中继节点路由,而没有 Tailscale 的 DERP 所施加的 5 Mbps 限速。对于需要在 NAT 失败时仍保持稳定吞吐量的团队网状网络来说,这一点很重要。
Netmaker 的开发者体验比 Tailscale 更糙。社区版运行在单台 VPS 上,能满足大多数小团队的使用场景。Netmaker 的商业版增加了企业功能,但不在本文讨论之列。
我们的 一键 Netmaker VPS 在高速基础设施上提供快速安装。
使用场景三:绕过审查
快速结论:主动审查环境用 Hiddify Manager,较简单的地区用 Outline。WireGuard 和 OpenVPN 逃不过深度包检测。不要把它们当作反审查工具来部署。
WireGuard 的流量可以通过其 UDP 包结构来识别,因此能够被封锁。问题不在于 WireGuard 的加密弱。加密没有问题。问题在于这些加密包看上去就像 VPN,而现代审查检查的是包的形状、时序和协议指纹,而不仅仅是载荷内容。
把自托管 VPN 当作你唯一的反审查工具,在任何存在主动深度包检测的环境中都会失败。正确的做法是另一类工具:让流量足够逼真地模仿普通网页浏览,以至于审查者无法把它与通往真实网站的真实 HTTPS 流量区分开来。
这一类内容比本指南其余部分老化得更快。审查者会适应,协议会被封锁。像 REALITY 和 Hysteria2 这样的新混淆方法是在过去两年内出现的,接下来的两年还会带来更多。选择的逻辑——即让混淆等级与审查环境相匹配——是经久耐用的。今天在你所在国家管用的具体工具,六个月后可能就不管用了。 Hiddify 的 GitHub 仓库和问题追踪 是部署前查看当前状态的地方。
Hiddify Manager:当前最佳答案
Hiddify Manager 是一个元工具。它本身并不是单一的 VPN 协议;它是一个管理层,在单台 VPS 上部署、管理并轮换 20 多种底层反审查协议。2026 年 2 月发布的 Hiddify v12 支持:
- Reality(基于 VLESS 的 XTLS)
- Hysteria2
- Shadowsocks-2022 及其 TLS 变体
- 支持 WS、gRPC 和 H2 传输的 V2Ray 和 Xray
- 用于回退的 WireGuard
Web 管理面板负责用户管理、流量限额和按用户的协议路由。
协议轮换功能才是实践中真正重要的部分:当某个协议在某个国家开始失效时,管理员可以把用户切换到另一个协议,而无需重新部署服务器。这正是 Hiddify 与单协议栈在运维上的区别。
有两点关于协议的说明值得在部署前理解。Reality 是目前规避 TLS 指纹的最前沿技术。它模仿通往真实公共网站的真实 HTTPS 连接(由运营者选定,通常是像 cloudflare.com 这样的高流量站点),审查者检查握手时,看到的就像是通往该站点的普通连接。Hysteria2 是一种基于 UDP 的协议,内置混淆,在高丢包网络上表现良好;当网络不稳定时,它比基于 TCP 的替代方案更快,而受限环境中的大多数消费级连接正是这种情况。
Cloudzy 的应用市场也在同样的 Linux VPS 基础设施上提供一键 Hiddify 镜像,几分钟内即可部署。
这一使用场景的位置选择与隐私场景不同。在为侦测严密地区的用户服务时,要避开美国和主要的欧盟出口点。好的选择包括迪拜、法兰克福、阿姆斯特丹和新加坡,它们提供广泛的地理覆盖。
V2Ray、Xray、Shadowsocks:底层之上的那一层
V2Ray 及其分支 Xray 正是 Hiddify 所封装的协议家族。如果你觉得 Hiddify 抽象得太多,想用手动配置部署单个协议,那么直接上 V2Ray 或 Xray 就是这条路。代价在运维上:守护进程、TLS 证书、混淆配置以及各种故障模式,都得你独自管理。对大多数读者而言,Hiddify 会服务得更好。
Shadowsocks 更老一些。原始协议在许多环境中仍然管用,但越来越多地被现代 DPI 侦测到。Shadowsocks-2022 增加了流密码升级,堵上了某些类别的侦测,但单凭它并不能应对协议指纹攻击。作为 Hiddify 部署中的一个选项,它是合理的;作为 2026 年的独立工具,则不那么合理。
Outline:较简单的地区
Outline 是 Jigsaw 对 Shadowsocks 的封装,带有一个友好的管理界面。它在 2026 年作为独立项目转交给 Outline Foundation。在审查不那么激进、简单的 Shadowsocks 级混淆仍然管用、且部署者并非技术人员、希望获得打包式体验的环境里,Outline 是一个合理的选择。但在大多数环境中,Hiddify 覆盖的范围更广。
并排对比
| 工具 | 最适合 | 设置 | 吞吐量 | 防火墙穿透 | 最低 VPS 要求 | 信任模型 |
|---|---|---|---|---|---|---|
| WireGuard | 个人出口节点 | 低 | 隧道约 210 Mbps,内核裸金属约 8 Gbps | 仅 UDP;会被部分网络封锁 | 12 MB RAM | 自托管;你掌控所有密钥 |
| WireGuard Easy | 个人,偏好 Web 界面 | 低 | 同 WireGuard | 仅 UDP | 512 MB RAM | 自托管 |
| OpenVPN AS | 封锁 UDP 的网络 | 中等 | 隧道约 110 Mbps | TCP 443 看上去像 HTTPS | 1 GB RAM | 自托管;2 个免费连接 |
| Pritunl | 小团队 OpenVPN/WG 面板 | 中等 | 与底层协议相当 | UDP 或 TCP | 2 GB RAM | 自托管;不按用户收费 |
| Tailscale | 大多数团队 | 极低 | 直接 P2P 接近线速;DERP 限速至 5 Mbps | 自动 NAT 穿透 | 无需要求(托管控制平面) | 托管控制平面 |
| Headscale | 需要自托管控制平面的团队 | 中等 | 同 Tailscale | 自动 NAT 穿透 | 1 GB RAM | 完全自托管 |
| Netmaker | 团队网状网络,无 DERP 限速 | 中等 | WireGuard 级吞吐量 | 通过自托管中继实现 NAT 穿透 | 1 GB RAM | 完全自托管 |
| Hiddify Manager | 反审查,受限地区 | 中(Web 界面) | 取决于协议 | 通过 REALITY、Hysteria2 等规避 DPI | 1 GB RAM | 自托管 |
先选定使用场景
决策在工具之上游。
- 部署 WireGuard 当你的使用场景是把自己的出口节点用于个人隐私时。
- 使用 Tailscale 如果你的使用场景是连接团队的机器,除非掌控控制平面是你威胁模型的一部分,那样的话就选 Headscale 或 Netmaker。
这些工具不可互换;把其中一个用于另一种使用场景所导致的失败是真实存在的。
无论适用哪条路,部署和维护中真正难的部分依然存在。Cloudzy 的应用市场为上面涵盖的每一个工具都提供了一键部署。难的部分是把工具与威胁模型相匹配。那一部分在任何部署按钮之上游。
常见问题
我的自托管 VPN 该用 WireGuard 还是 OpenVPN?
几乎所有情况都用 WireGuard。它更快、延迟更低、随 Linux 内核一起发布,而且配置简单得多。只有在你需要穿透封锁 UDP 的防火墙(配置在 TCP port 443 上),或需要 WireGuard 尚未针对的广泛旧版客户端支持时,才用 OpenVPN。
Tailscale 真的是自托管的吗?
不是。Tailscale 的数据平面是点对点的,但控制平面(密钥分发、身份协调)由 Tailscale 托管。对许多团队来说,Tailscale 的托管控制平面是可以接受的;问题在于你的威胁模型是否把它当作一个你能接受的依赖。
运行自托管 VPN 的最低 VPS 规格是多少?
512 MB of RAM and one virtual CPU is enough for personal WireGuard or OpenVPN. For team mesh controllers like Headscale or Netmaker, 1 GB of RAM is comfortable. For anti-censorship multi-user setups like Hiddify, 1 to 2 GB of RAM handles a small group of users. None of these workloads need a CPU-optimised plan.
如果我家里的 ISP 使用 CGNAT,我还能运行 WireGuard 吗?
无法作为一台你从外部发起连接的服务器来运行。Carrier-Grade NAT 完全阻止了对你家庭 IP 的入站连接。绕过它有两条路:租一台小型 VPS 作为可公网访问的中继,让你家中的设备向它发起出站连接;或者使用 Tailscale 或 Headscale,它们会通过打洞自动处理 NAT 穿透。两者都行:VPS 方案给你一个稳定的 IP,Tailscale 方案给你一个网状网络。