„Self-hosted VPN“ znamená tři různé věci pro tři různá publika a většina seznamových článků selhává, protože je považuje za jedno a totéž. Uživatel, kterému jde o soukromí a chce nahradit komerční VPN službu vlastním výstupním uzlem, neřeší stejný problém jako čtyřčlenný tým inženýrů, který připojuje domácí laboratoř k AWS. Nástroje se překrývají, ale ten správný nástroj pro jednu úlohu je jen zřídka tím správným pro jinou.
Tento průvodce je postaven právě na tomto rozdělení. Tři případy použití, tři hlavní doporučení a poctivé kompromisy, které ke každému patří. Žádné návody na instalaci tu nenajdete. Jakmile je identifikován správný nástroj pro vaši úlohu, následují odkazy na úplné návody k nastavení.
Zkrácená verze
- Pro osobní soukromí jako váš vlastní výstupní uzel nasaďte WireGuard na malý VPS v jurisdikci mimo Five Eyes. WireGuard Easy přidá webové rozhraní, pokud o něj stojíte. OpenVPN jen tehdy, když vaše síť blokuje UDP.
- Pro týmovou mesh síť propojující notebooky, domácí laboratoře a cloudové VPC je Tailscale pro většinu týmů pragmatickou odpovědí. Headscale nebo Netmaker provozujte jen tehdy, pokud je vlastnictví řídicí roviny součástí vašeho modelu hrozeb.
- Pro uživatele v restriktivních internetových prostředích je Hiddify Manager aktuálně nejlepší odpovědí. WireGuard a OpenVPN samy o sobě hloubkovou inspekci paketů (DPI) nepřežijí.
- VPS s 1 vCPU a 512 MB zvládne osobní WireGuard server s rezervou. Úzkým hrdlem je propustnost sítě, nikoli výpočetní výkon.
Kdy má self-hosting VPN skutečně smysl
Komerční VPN vám dává tisíce sdílených výstupních IP a nulovou údržbu. Self-hosted VPN vám dává přesně jednu IP, jednu lokalitu a plnou odpovědnost za server. Jsou to rozdílné produkty, navzdory tomu, jak bývají často prezentovány.
Self-hosting je správná volba, když platí jedno z následujícího:
- Chcete minimalizovat počet stran, které vidí váš nešifrovaný provoz. U komerční VPN ho vidí poskytovatel. U self-hosted VPN jen vy.
- Potřebujete konkrétní jurisdikci. Frankfurt kvůli dopadu GDPR. Sydney pro testování geograficky omezených australských služeb. Švýcarsko kvůli přísnějšímu zákonu o ochraně dat (pokud je dostupnost). Komerční poskytovatelé to zamlžují, self-hosting to činí explicitním.
- Propojujete týmovou infrastrukturu, nejen směrujete osobní prohlížení.
- Nacházíte se v cenzurním prostředí, kde jsou samy komerční VPN blokovány.
Self-hosting je špatná volba, když chcete maximální rozmanitost IP pro streamování, když nechcete spravovat Linux server, nebo když je váš model hrozeb čistě „zabránit mému ISP v prodeji dat o mém prohlížení“. Pro třetí případ udělá většinu práce šifrované DNS spolu s vaším stávajícím prohlížečem.
Existuje jedno omezení, které stojí za to pojmenovat hned na začátku, protože vyplouvá na povrch v mnoha poctivých diskusích o self-hosted VPN. WireGuard ze své podstaty uchovává naposledy viděnou IP adresu každého peeru ve stavu jádra. Komerční poskytovatel VPN může tvrdit „no logs“, ale nemáte žádný způsob, jak to ověřit. Self-hoster to ověřit může a ověření vám řekne, že jádro skutečně zná IP, ze které se váš telefon dnes ráno připojil. Řešením není toto ignorovat, ale rotovat klíče, mazat stav jádra podle plánu a smířit se s tímto kompromisem.
Případ použití 1: Výstupní uzel pro osobní soukromí
Rychlý verdikt: WireGuard na malém VPS v jurisdikci mimo Five Eyes. WireGuard Easy, pokud chcete webové rozhraní bez příkazové řádky. OpenVPN jen tehdy, když je UDP blokováno v síti, ze které se připojujete.
WireGuard: Výchozí volba
WireGuard je správnou odpovědí pro případ použití výstupního uzlu zaměřeného na soukromí.
Protokol používá pro výměnu klíčů framework Noise a dokončí handshake během jediného round tripu. OpenVPN používá TLS, který vyžaduje více round tripů a přitom odhaluje více metadat. Latenční režie u WireGuardu je obvykle 1 až 3 milisekundy nad rámec vašeho základního připojení. OpenVPN přidává 20 až 30 procent latenční režie za srovnatelných podmínek.
Údaje o propustnosti z recenzovaného benchmarku z roku 2025 v časopisu Computers od MDPI: zhruba 210 Mbps přes WireGuard oproti 110 Mbps přes OpenVPN za stejných podmínek VM s TCP tunelováním. Na bare-metal hardwaru se zapnutým modulem jádra dosahuje čistý WireGuard zhruba 8 Gbps na hardwaru gigabitové třídy; limitem je tu síťová karta, nikoli protokol.
Kódová báze má přibližně 4,000 řádků. Ta u OpenVPN je mnohonásobně větší. Malá kódová báze není sama o sobě zárukou bezpečnosti, ale činí audity proveditelnými. WireGuard byl auditován; dostal se do hlavní větve linuxového jádra ve verzi 5.6 a je výchozí ve většině distribucí.
Konfigurace je 12řádkový textový soubor. Není důvod, aby to bylo složitější. Úplný návod k nastavení je zdokumentován na našem blogu, který pokrývá instalaci balíčků, generování klíčů, konfiguraci peerů a pravidla firewallu.
Levný, jednoduchý VPS zvládne osobní WireGuard server s rezervou propustnosti. Úzkým hrdlem bude vaše domácí internetové připojení, nikoli server. Pro většinu čtenářů je levný VPS víc než dostatečný k provozu jejich WireGuard sestavy.
Tip pro pokročilé: WireGuard zaznamenává naposledy viděnou IP adresu každého peeru ve stavu jádra. Pro skutečné soukromí bez logů to přijměte a rotujte klíče, nebo mazejte stav jádra podle plánu. Nepředstírejte, že toto omezení neexistuje. Technická poznámka Proton VPN o soukromí ve WireGuardu to ve vlastním nasazení uznává.
WireGuard s webovým rozhraním
Pokud vás správa peerů z příkazové řádky neláká, dva wrappery stojí za pozornost.
WireGuard Easy je Docker kontejner, který zpřístupňuje webový administrační panel. Generuje konfigurace peerů, tiskne QR kódy pro mobilní klienty a vše ukládá do jediného konfiguračního svazku. Nastavení je rychlé. Je vhodný pro osobní použití a malé domácnosti.
WGDashboard je robustnější alternativa. Podpora více peerů, více administrativních funkcí, více času na nastavení. Vyplatí se, pokud spravujete 20 a více peerů; jinak WireGuard Easy stačí.
Kdy má OpenVPN stále své místo
OpenVPN není zastaralé. Přežívá ve dvou konkrétních scénářích.
Prvním jsou restriktivní sítě, které blokují UDP. WireGuard běží ze své podstaty pouze přes UDP. Firemní sítě, hotelové WiFi a někteří mobilní operátoři blokují veškerý UDP provoz kromě DNS. OpenVPN umí běžet přes TCP na portu 443, což mu pomáhá projít mnoha restriktivními firewally. Pokud se pravidelně připojujete ze sítí, které vám UDP komplikují, OpenVPN je záložní řešení.
Druhým je široká podpora starších klientů. Klienti OpenVPN existují pro každý operační systém, který za posledních patnáct let fungoval, včetně platforem, na které WireGuard necílí. Pokud mezi vašimi uživateli figurují starší telefony nebo zařízení, kompatibilita OpenVPN je širší.
OpenVPN Access Server přidává nad protokol webové administrační rozhraní a je zdarma pro dvě souběžná připojení. Nad rámec dvou připojení je licencování za uživatele. Pritunl je třetí možnost, která přidává srovnatelný administrační dashboard jak pro OpenVPN, tak pro WireGuard bez licencování za uživatele. Pro osobní použití je bezplatná úroveň OpenVPN AS dostačující. Pro malé týmy, které odmítly Tailscale, je Pritunl čistší volbou. Úplný návod k instalaci čistého OpenVPN je popsán v našem článku o instalaci OpenVPN na VPS.
Výběr lokality
Jurisdikce má v tomto měřítku větší význam než propustnost. Pokud je součástí vašeho důvodu pro self-hosting snížení vystavení dohodám o sdílení zpravodajských informací, relevantním uskupením je aliance Five Eyes (US, UK, Kanada, Austrálie, Nový Zéland) a její rozšíření partneři. Frankfurt a Amsterdam jsou v Evropě běžné volby mimo Five Eyes. Dubaj je zajímavá, pokud je váš provoz v regionu Blízkého východu. Švýcarsko a Singapur mají přísnější rámce ochrany dat, ale u menších poskytovatelů často nebývají skladem.
Pokud WireGuard vyhovuje vašim potřebám, náš WireGuard VPS na jedno kliknutí vás provede procesem nastavení a nainstaluje se během několika minut.
Případ použití 2: Týmová mesh síť
Rychlý verdikt: Tailscale pro většinu týmů. Headscale nebo Netmaker, pokud potřebujete vlastnit řídicí rovinu. Čistá WireGuard mesh jen tehdy, máte-li méně než 10 uzlů a trpělivost.
Tři vzdálení inženýři, domácí laboratoř, staging server v AWS a databázový VM v kolokovaném racku. Těchto pět strojů spolu potřebuje komunikovat, aniž by vystavovalo veřejné porty. Žádný z nich nemá stabilní veřejnou IP. Dva z nich sedí za Carrier-Grade NAT.
Tohle je problém, který WireGuard mesh nebyla navržena elegantně řešit ve větším měřítku.
Proč čistá WireGuard mesh při škálování bolí
Mesh vyžaduje, aby každý peer věděl o každém jiném peeru. Konfigurační formát WireGuardu to přímo odráží: každý peer má sekci [Peer] pro každý uzel, se kterým komunikuje. Pět uzlů znamená, že každý konfigurační soubor má čtyři bloky [Peer] a celkový počet konfigurací, které je třeba napříč mesh sítí udržovat, je N krát (N minus 1) děleno 2.
U pěti uzlů to je 10 párů připojení. U 10 uzlů 45. U 20 jich je 190. Růst je kvadratický. Přidání jediného uzlu do 20uzlové mesh sítě vyžaduje aktualizaci 20 konfiguračních souborů a restart 20 daemonů. Odebrání klíče vyžaduje totéž.
Nástroje jako wg-meshconf a Netmaker existují právě k automatizaci tohoto.
Tailscale: Poctivé doporučení pro většinu týmů
Tailscale je pro většinu týmů skutečně dostatečně dobrý. Řídicí rovinu hostuje Tailscale, datová rovina je přímo peer-to-peer a bezplatná úroveň pokrývá 100 zařízení. Nastavení trvá méně než pět minut. Průchod NAT funguje ve většině síťových prostředí bez konfigurace. ACL jsou spravovány centrálně.
Poctivá výhrada: řídicí rovina je závislostí na třetí straně. Tailscale distribuuje klíče WireGuardu, které propojují vaše zařízení. Pokud je koordinační server Tailscale kompromitován, útočník by se v principu mohl vložit do mesh sítě. Tailscale zveřejňuje podrobnou dokumentaci modelu hrozeb, která to uznává, a používá tailnet zámky a atestaci uzlů, aby se proti tomu zpevnil. Pro většinu týmů je tato závislost přijatelná. Pro týmy, jejichž model hrozeb zahrnuje útočníky na úrovni státu nebo přísné regulační požadavky na koordinační metadata, přijatelná není.
Datová rovina Tailscale obchází servery společnosti, kdykoli je to možné. Když přímé peer-to-peer selže, provoz se vrací na relay servery DERP od Tailscale, které jsou omezeny zhruba na 5 Mbps. Pokud dva z vašich uzlů kvůli patologii NAT vždy skončí na DERP, omezení relay se stává úzkým hrdlem.
Tip pro pokročilé: Pokud váš domácí ISP používá Carrier-Grade NAT, nemůžete doma přijímat příchozí připojení. Tailscale a Headscale to řeší automaticky pomocí hole-punchingu a záložního DERP. Čistý WireGuard vyžaduje veřejně dostupný VPS jako relay, přičemž domácí uzel funguje jako klient, který iniciuje odchozí připojení.
Headscale: Když potřebujete vlastnit řídicí rovinu
Headscale je open-source reimplementace koordinačního serveru Tailscale. Oficiální klient Tailscale se připojuje k Headscale namísto k hostovaným serverům Tailscale a uživatelský zážitek je podobný. Má to však jeden zásadní kompromis: řídicí rovinu provozujete sami, což znamená, že dostupnost, upgrady a bezpečnostní záplaty jsou váš problém.
Headscale postrádá část vyladěnosti Tailscale. Konfigurace ACL probíhá přes YAML a CLI, nikoli přes webové rozhraní. Občas vyplynou okrajové případy MagicDNS, které oficiální klient v hostované verzi tiše zvládne. Projekt je dobře udržovaný, běží v produkci u organizací, které jej potřebují, a je vhodný pro týmy, jejichž model hrozeb nebo přístup ke shodě vyžaduje self-hosted koordinaci.
Údržba Headscale je průběžná práce. Pokud ji raději přenecháte někomu jinému, Linux VPS s 99.95% SLA dostupnosti a podporou 24/7 zvládne zátěž kontroleru bez nutnosti pohotovosti. Samotný kontroler je nenáročný, protože zajišťuje pouze koordinaci; skutečný mesh provoz je peer-to-peer.
Netmaker
Netmaker je alternativní koordinační vrstva, která běží nad WireGuardem, místo aby reimplementovala Tailscale. Architektonický rozdíl je podstatný: když přímé peer-to-peer selže, Netmaker dokáže směrovat přes self-hosted relay uzly bez omezení na 5 Mbps, které vynucuje DERP od Tailscale. Pro týmové mesh sítě, které potřebují konzistentní propustnost i při selháních NAT, to má význam.
Vývojářský zážitek u Netmakeru je hrubší než u Tailscale. Komunitní edice běží na jediném VPS a podporuje případy použití, které má většina malých týmů. Komerční edice Netmakeru přidává podnikové funkce, ale ta není součástí této diskuse.
Náš Netmaker VPS na jedno kliknutí přichází s rychlou instalací na rychlé infrastruktuře.
Případ použití 3: Obcházení cenzury
Rychlý verdikt: Hiddify Manager pro prostředí s aktivní cenzurou. Outline pro jednodušší regiony. WireGuard a OpenVPN hloubkovou inspekci paketů (DPI) nepřežijí. Nenasazujte je jako nástroje proti cenzuře.
Provoz WireGuardu je identifikovatelný podle struktury jeho UDP paketů, takže jej lze zablokovat. Problémem není, že by šifrování WireGuardu bylo slabé. Šifrování je v pořádku. Problém je v tom, že šifrované pakety vypadají jako VPN a moderní cenzura zkoumá tvar paketů, časování a protokolové otisky, nejen obsah užitečného zatížení.
Self-hosted VPN jako váš jediný nástroj proti cenzuře selže v jakémkoli prostředí s aktivní hloubkovou inspekcí paketů. Správným přístupem je jiná kategorie nástroje: provoz, který napodobuje běžné prohlížení webu natolik dobře, že jej cenzor nedokáže odlišit od skutečného HTTPS provozu na skutečnou webovou stránku.
Tato kategorie zastarává rychleji než zbytek tohoto průvodce. Cenzoři se přizpůsobují. Protokoly jsou blokovány. Nové metody obfuskace, jako REALITY a Hysteria2, se objevily během posledních dvou let a další dva roky jich přinesou víc. Logika výběru, tedy přizpůsobit úroveň obfuskace cenzurnímu prostředí, je trvalá. Konkrétní nástroj, který dnes ve vaší zemi funguje, nemusí fungovat za šest měsíců. GitHub repozitář Hiddify a jeho issue tracker je místo, kde si před nasazením ověřit aktuální stav.
Hiddify Manager: Aktuálně nejlepší odpověď
Hiddify Manager je meta-nástroj. Sám o sobě není jediným VPN protokolem; je to administrační vrstva, která nasazuje, spravuje a rotuje více než 20 podkladových protokolů proti cenzuře na jediném VPS. Vydání Hiddify v12 z února 2026 podporuje:
- Reality (XTLS přes VLESS)
- Hysteria2
- Shadowsocks-2022 s variantami TLS
- V2Ray a Xray s transporty WS, gRPC a H2
- WireGuard jako záloha
Webový administrační panel zajišťuje správu uživatelů, limity provozu a směrování protokolů na úrovni jednotlivých uživatelů.
Funkce rotace protokolů je tou částí, na které v praxi záleží: když jeden protokol začne v dané zemi selhávat, administrátor přepne uživatele na jiný, aniž by server znovu nasazoval. To je provozní rozdíl mezi Hiddify a jednoprotokolovým stackem.
Dvě poznámky k protokolům, které stojí za to pochopit před nasazením. Reality je aktuální špička v obcházení otisků TLS. Napodobuje skutečné HTTPS připojení ke skutečné veřejné webové stránce (kterou operátor zvolí, typicky vysoce navštěvovaný web jako cloudflare.com) a cenzor zkoumající handshake vidí něco, co vypadá jako běžné připojení k tomuto webu. Hysteria2 je protokol založený na UDP s vestavěnou obfuskací, který si dobře vede na sítích se ztrátovostí; je rychlejší než alternativy založené na TCP, když je síť nestabilní, což popisuje většinu spotřebitelských připojení v restriktivních prostředích.
Marketplace Cloudzy také nabízí obraz Hiddify na jedno kliknutí na téže infrastruktuře Linux VPS, nasaditelný během několika minut.
Výběr lokality se u tohoto případu použití liší od případů zaměřených na soukromí. Vyhněte se US a hlavním evropským výstupním bodům, když obsluhujete uživatele v regionech s intenzivní detekcí. Dobré možnosti zahrnují Dubaj, Frankfurt, Amsterdam a Singapur, které nabízejí širokou geografickou pokrytost.
V2Ray, Xray, Shadowsocks: Vrstva pod tím
V2Ray a jeho fork Xray jsou rodinou protokolů, kterou Hiddify obaluje. Pokud je pro vás Hiddify příliš abstrakce a chcete nasadit jediný protokol s manuální konfigurací, cestou je přímo V2Ray nebo Xray. Kompromis je provozní: daemon, TLS certifikát, nastavení obfuskace a režimy selhání spravujete sami. Většině čtenářů lépe poslouží Hiddify.
Shadowsocks je starší. Původní protokol stále funguje v mnoha prostředích, ale je stále častěji detekován moderní DPI. Shadowsocks-2022 přidal vylepšení proudových šifer, která uzavírají některé třídy detekce, ale sám o sobě neřeší útoky založené na otiscích protokolu. Je rozumný jako jedna z možností v rámci nasazení Hiddify, méně rozumný jako samostatný nástroj v roce 2026.
Outline: Jednodušší regiony
Outline je wrapper od Jigsaw kolem Shadowsocks s přívětivým administračním rozhraním. V roce 2026 přešel pod Outline Foundation jako nezávislý projekt. Outline je rozumná volba pro uživatele v prostředích, kde je cenzura méně agresivní, kde jednoduchá obfuskace třídy Shadowsocks stále funguje a kde je ten, kdo nasazuje, netechnický a chce hotové řešení. Hiddify pokrývá více terénu napříč většinou prostředí.
Srovnání vedle sebe
| Nástroj | Nejlépe pro | Nastavení | Propustnost | Průchod firewallem | Minimální požadavky na VPS | Model důvěry |
|---|---|---|---|---|---|---|
| WireGuard | Osobní výstupní uzel | Nízká | ~210 Mbps tunelováno, ~8 Gbps jádro bare-metal | Pouze UDP; blokováno některými sítěmi | 12 MB RAM | Self-hosted; ovládáte všechny klíče |
| WireGuard Easy | Osobní, preference webového rozhraní | Nízká | Stejné jako WireGuard | Pouze UDP | 512 MB RAM | Self-hosted |
| OpenVPN AS | Sítě s blokovaným UDP | Střední | ~110 Mbps tunelováno | TCP 443 vypadá jako HTTPS | 1 GB RAM | Self-hosted; 2 připojení zdarma |
| Pritunl | Dashboard OpenVPN/WG pro malý tým | Střední | Srovnatelné s podkladovým protokolem | UDP nebo TCP | 2 GB RAM | Self-hosted; žádné poplatky za uživatele |
| Tailscale | Většina týmů | Velmi nízká | Přímé P2P téměř na úrovni linky; DERP omezeno na 5 Mbps | Průchod NAT automaticky | Žádné (hostovaná řídicí rovina) | Hostovaná řídicí rovina |
| Headscale | Týmy potřebující self-hosted řídicí rovinu | Střední | Stejné jako Tailscale | Průchod NAT automaticky | 1 GB RAM | Plně self-hosted |
| Netmaker | Týmová mesh, bez omezení DERP | Střední | Propustnost třídy WireGuard | Průchod NAT přes self-hosted relays | 1 GB RAM | Plně self-hosted |
| Hiddify Manager | Proti cenzuře, restriktivní regiony | Střední (webové rozhraní) | Závisí na protokolu | Obcházení DPI přes REALITY, Hysteria2 atd. | 1 GB RAM | Self-hosted |
Nejprve vyberte případ použití
Rozhodnutí je nadřazeno volbě nástroje.
- Nasaďte WireGuard když je vaším případem použití osobní soukromí jako váš vlastní výstupní uzel.
- Použijte Tailscale pokud je vaším případem použití propojení strojů týmu, ledaže je vlastnictví řídicí roviny součástí vašeho modelu hrozeb, v takovém případě sáhněte po Headscale nebo Netmaker.
Tyto nástroje nejsou zaměnitelné; selhání plynoucí z použití jednoho na jiný případ použití je reálné.
Ať už platí kterákoli cesta, ta těžká část nasazení a údržby stále zůstává. Marketplace Cloudzy má nasazení na jedno kliknutí pro každý nástroj zmíněný výše. Tou těžkou částí je přiřadit nástroj k modelu hrozeb. Tato část je nadřazena jakémukoli tlačítku pro nasazení.
Časté dotazy
Mám pro svou self-hosted VPN použít WireGuard, nebo OpenVPN?
WireGuard téměř pro každý případ. Je rychlejší, má nižší latenci, je součástí linuxového jádra a jeho konfigurace je mnohem jednodušší. OpenVPN použijte jen tehdy, když potřebujete projít firewally blokujícími UDP (konfigurováno na TCP portu 443) nebo když potřebujete širokou podporu starších klientů, na kterou WireGuard zatím necílí.
Je Tailscale opravdu self-hosted?
Ne. Datová rovina Tailscale je peer-to-peer, ale řídicí rovinu (distribuce klíčů, koordinace identit) hostuje Tailscale. Pro mnoho týmů je hostovaná řídicí rovina Tailscale přijatelná; otázkou je, zda ji váš model hrozeb považuje za závislost, kterou můžete přijmout.
Jaká je minimální velikost VPS pro provoz self-hosted VPN?
512 MB of RAM and one virtual CPU is enough for personal WireGuard or OpenVPN. For team mesh controllers like Headscale or Netmaker, 1 GB of RAM is comfortable. For anti-censorship multi-user setups like Hiddify, 1 to 2 GB of RAM handles a small group of users. None of these workloads need a CPU-optimised plan.
Mohu provozovat WireGuard, pokud můj domácí ISP používá CGNAT?
Ne jako server, ke kterému navazujete připojení zvenčí. Carrier-Grade NAT zcela zabraňuje příchozím připojením na vaši domácí IP. Dvě cesty, jak to obejít: pronajměte si malý VPS jako veřejně dostupný relay, k němuž se vaše domácí zařízení připojuje odchozím spojením; nebo použijte Tailscale či Headscale, které průchod NAT řeší automaticky pomocí hole-punchingu. Obojí funguje; přístup s VPS vám dá stabilní IP, přístup s Tailscale vám dá mesh síť.