A „saját üzemeltetésű VPN” három különböző dolgot jelent három különböző közönség számára, és a legtöbb listacikk azért bukik el, mert egyként kezeli őket. Egy felhasználó, akinek fontos a magánélet védelme, és a saját kilépési csomópontjával szeretne lecserélni egy kereskedelmi VPN-szolgáltatást, nem ugyanazt a problémát oldja meg, mint egy négyfős mérnökcsapat, amely egy otthoni labort köt össze az AWS-szel. Az eszközök átfedik egymást, de az egyik feladathoz megfelelő eszköz ritkán a megfelelő eszköz egy másikhoz.
Ez az útmutató e felosztás köré épül. Három felhasználási eset, három fő ajánlás, és az ezekhez tartozó őszinte kompromisszumok. Itt nincsenek beállítási lépésről lépésre útmutatók. Miután azonosítottuk a feladatodhoz megfelelő eszközt, hivatkozások következnek a teljes beállítási útmutatókra.
A rövid verzió
- A személyes magánélet védelméhez saját kilépési csomópontként telepíts WireGuardot egy kis VPS-re egy nem Five Eyes joghatóságban. A WireGuard Easy webes felülettel egészíti ki, ha igényled. OpenVPN csak akkor, ha a hálózatod blokkolja az UDP-t.
- Laptopokat, otthoni laborokat és felhőbeli VPC-ket összekötő csapat-meshhez a Tailscale a pragmatikus válasz a legtöbb csapat számára. Headscale-t vagy Netmakert csak akkor futtass, ha a vezérlősík birtoklása a fenyegetési modelled része.
- A korlátozó internetes környezetekben lévő felhasználók számára a Hiddify Manager a jelenlegi legjobb válasz. A WireGuard és az OpenVPN önmagában nem éli túl a mélycsomag-vizsgálatot (DPI).
- Egy 1 vCPU, 512 MB VPS bőven elbír egy személyes WireGuard-szervert. A szűk keresztmetszet a sávszélesség, nem a számítási kapacitás.
Mikor van valóban értelme egy VPN saját üzemeltetésének
Egy kereskedelmi VPN több ezer megosztott kilépési IP-t és nulla karbantartást ad. Egy saját üzemeltetésű VPN pontosan egy IP-t, egy helyszínt és teljes felelősséget ad a szerverért. Ezek különböző termékek, függetlenül attól, ahogyan gyakran reklámozzák őket.
A saját üzemeltetés akkor a helyes választás, ha az alábbiak egyike igaz:
- Minimalizálni szeretnéd azoknak a feleknek a számát, akik láthatják a titkosítatlan forgalmadat. Egy kereskedelmi VPN-nél a szolgáltató láthatja. Egy saját üzemeltetésű VPN-nél csak te láthatod.
- Egy konkrét joghatóságra van szükséged. Frankfurt a GDPR szempontjából. Sydney a földrajzilag korlátozott ausztrál szolgáltatások teszteléséhez. Svájc az erősebb adatvédelmi törvény miatt (amikor van készlet). A kereskedelmi szolgáltatók ezt elfedik, a saját üzemeltetés egyértelművé teszi.
- Csapatinfrastruktúrát kötsz össze, nem csupán személyes böngészést irányítasz.
- Olyan cenzúrázott környezetben vagy, ahol maguk a kereskedelmi VPN-ek is blokkolva vannak.
A saját üzemeltetés rossz választás, ha maximális IP-sokféleséget szeretnél streameléshez, ha nem akarsz egy Linux szervert karbantartani, vagy ha a fenyegetési modelled pusztán annyi, hogy „megakadályozzam, hogy az internetszolgáltatóm eladja a böngészési adataimat”. A harmadik esetben a titkosított DNS és a meglévő böngésződ a munka java részét elvégzi.
Van egy korlát, amelyet érdemes korán megnevezni, mert a saját üzemeltetésű VPN-ek sok őszinte tárgyalásában felmerül. A WireGuard tervezésénél fogva megőrzi az utoljára látott IP-címet minden peer esetében a kernel állapotában. Egy kereskedelmi VPN-szolgáltató állíthatja, hogy „nincs naplózás”, de ezt sehogy nem tudod ellenőrizni. Egy saját üzemeltető ellenőrizheti, és az ellenőrzés meg fogja mutatni, hogy a kernel valóban ismeri azt az IP-t, amelyről a telefonod ma reggel csatlakozott. A megoldás nem ennek figyelmen kívül hagyása, hanem a kulcsok rotálása, a kernelállapot ütemezett törlése és a kompromisszum elfogadása.
1. felhasználási eset: személyes adatvédelmi kilépési csomópont
Gyors ítélet: WireGuard egy kis VPS-en egy nem Five Eyes joghatóságban. WireGuard Easy, ha parancssor nélküli webes felületet szeretnél. OpenVPN csak akkor, ha az UDP blokkolva van azon a hálózaton, ahonnan csatlakozol.
WireGuard: az alapértelmezett választás
A WireGuard a helyes válasz az adatvédelmi kilépési csomópont felhasználási esetére.
A protokoll a Noise keretrendszert használja a kulcscseréhez, és egyetlen oda-vissza úttal befejezi a kézfogást. Az OpenVPN TLS-t használ, ami több oda-vissza utat igényel, és közben több metaadatot tár fel. A WireGuard késleltetési többlete jellemzően 1–3 milliszekundum az alapul szolgáló kapcsolaton felül. Az OpenVPN 20–30 százalék késleltetési többletet ad hozzá hasonló körülmények között.
Az átviteli teljesítmény adatai egy lektorált 2025-ös benchmarkból, amely az MDPI Computers folyóiratában jelent meg: nagyjából 210 Mbps WireGuard felett, szemben a 110 Mbps OpenVPN feletti értékkel ugyanazon TCP-alagútban futó virtuális gép körülményei között. Bare-metal hardveren engedélyezett kernelmodullal a nyers WireGuard nagyjából 8 Gbps-t produkál gigabit osztályú hardveren; ott a határt a hálózati kártya jelenti, nem a protokoll.
A kódbázis körülbelül 4,000 sor. Az OpenVPN-é sokszor nagyobb. Egy kis kódbázis önmagában nem jelent biztonságot, de gyakorlatilag lehetővé teszi az auditokat. A WireGuardot auditálták; a 5.6-os fő Linux kernelben jelent meg, és a legtöbb disztribúcióban alapértelmezett.
A konfiguráció egy 12 soros szövegfájl. Nincs ok arra, hogy ennél bonyolultabb legyen. A teljes beállítási útmutató dokumentálva van a blogunkon, amely lefedi a csomagtelepítést, a kulcsgenerálást, a peer-konfigurációt és a tűzfalszabályokat.
Egy olcsó, egyszerű VPS bőséges sávszélességgel elbír egy személyes WireGuard-szervert. A szűk keresztmetszet az otthoni internetkapcsolatod lesz, nem a szerver. A legtöbb olvasó számára egy olcsó VPS több mint elegendő a WireGuard-beállítás futtatásához.
Profi tipp: a WireGuard a kernel állapotában naplózza minden peer utoljára látott IP-címét. A valódi, naplómentes adatvédelemhez fogadd el ezt, és rotáld a kulcsokat, vagy töröld a kernelállapotot ütemezetten. Ne tégy úgy, mintha a korlát nem létezne. A Proton VPN WireGuard adatvédelmi technikai jegyzete a saját telepítésében elismeri ezt.
WireGuard webes felülettel
Ha a peerek parancssorból való kezelése nem vonzó, két wrappert érdemes ismerni.
A WireGuard Easy egy Docker konténer, amely egy webes adminpanelt biztosít. Peer-konfigurációkat generál, QR-kódokat nyomtat a mobilkliensekhez, és mindent egyetlen konfigurációs köteten tárol. A beállítás gyors. Személyes használatra és kis háztartásokhoz alkalmas.
A WGDashboard egy nehézsúlyúbb alternatíva. Több peert támogat, több adminisztrációs funkcióval, hosszabb beállítási idővel. Akkor éri meg, ha 20-plus peert kezelsz; egyébként a WireGuard Easy is elegendő.
Mikor van még helye az OpenVPN-nek
Az OpenVPN nem elavult. Két konkrét forgatókönyvben fennmarad.
Az első a korlátozó hálózatok, amelyek blokkolják az UDP-t. A WireGuard tervezésénél fogva csak UDP felett fut. A vállalati hálózatok, a hotelek WiFi-je és néhány mobilszolgáltató a DNS kivételével minden UDP-forgalmat blokkol. Az OpenVPN tud TCP felett futni a port 443-on, ami segít sok korlátozó tűzfalon átjutni. Ha rendszeresen olyan hálózatokról csatlakozol, amelyek harcolnak ellened az UDP miatt, az OpenVPN a tartalék megoldás.
A második a széles körű, régi kliensek támogatása. OpenVPN kliensek léteznek minden operációs rendszerhez, amely az elmúlt tizenöt évben futott, beleértve azokat a platformokat is, amelyeket a WireGuard nem céloz meg. Ha az olvasóid közt vannak régebbi telefonok vagy eszközök, az OpenVPN kompatibilitása szélesebb körű.
Az OpenVPN Access Server egy webes admin felületet ad a protokoll fölé, és két egyidejű kapcsolatra ingyenes. Két kapcsolaton túl a licencelés felhasználónkénti. A Pritunl egy harmadik lehetőség, amely hasonló adminisztrációs irányítópultot ad mind az OpenVPN-hez, mind a WireGuardhoz, felhasználónkénti licencelés nélkül. Személyes használatra az OpenVPN AS ingyenes csomagja elegendő. Azon kis csapatok számára, amelyek elutasították a Tailscale-t, a Pritunl a tisztább választás. A nyers OpenVPN teljes telepítési útmutatóját a következő cikkünkben tárgyaljuk: az OpenVPN telepítése VPS-en.
A helyszín kiválasztása
Ezen a léptéken a joghatóság fontosabb, mint az átviteli teljesítmény. Ha a saját üzemeltetés egyik oka az hírszerzési megosztási megállapodásoknak való kitettség csökkentése, akkor a releváns csoportosulás a Five Eyes szövetség (US, UK, Kanada, Ausztrália, Új-Zéland) és kibővített partnerei. Frankfurt és Amsterdam gyakori nem Five Eyes választás Európában. Dubai akkor érdekes, ha a forgalmad a Közel-Kelet régióban van. Svájc és Szingapúr erősebb adatvédelmi keretrendszerekkel rendelkezik, de a kisebb szolgáltatóknál gyakran nincs készleten.
Ha a WireGuard megfelel az igényeidnek, a egykattintásos WireGuard VPS-ünk túljuttat a beállítási folyamaton, és percek alatt települ.
2. felhasználási eset: csapat-mesh hálózat
Gyors ítélet: Tailscale a legtöbb csapatnak. Headscale vagy Netmaker, ha birtokolnod kell a vezérlősíkot. Nyers WireGuard-mesh csak akkor, ha kevesebb mint 10 csomópontod van, és van türelmed.
Három távoli mérnök, egy otthoni labor, egy staging szerver az AWS-ben, és egy adatbázis VM egy bérelt rackben. Az öt gépnek úgy kell kommunikálnia egymással, hogy ne tegyenek közzé nyilvános portokat. Egyiküknek sincs stabil nyilvános IP-je. Kettő közülük Carrier-Grade NAT mögött ül.
Ez egy olyan probléma, amelynek elegáns, nagy léptékű megoldására a WireGuard-mesh nem lett tervezve.
Miért fáj a nyers WireGuard-mesh nagy léptékben
Egy mesh megköveteli, hogy minden peer tudjon minden más peerről. A WireGuard konfigurációs formátuma ezt közvetlenül tükrözi: minden peer rendelkezik egy [Peer] szakasszal minden olyan csomópontra, amellyel kommunikál. Öt csomópont azt jelenti, hogy minden konfigurációs fájlnak négy [Peer] blokkja van, és a mesh egészében karbantartandó konfigurációk teljes száma N-szer (N mínusz 1) osztva 2-vel.
Öt csomópontnál ez 10 kapcsolati pár. 10 csomópontnál 45. 20-nál 190. A növekedés négyzetes. Egyetlen csomópont hozzáadása egy 20 csomópontos meshhez 20 konfigurációs fájl frissítését és 20 démon újraindítását igényli. Egy kulcs eltávolítása ugyanazt igényli.
Az olyan eszközök, mint a wg-meshconf és a Netmaker, ennek automatizálására léteznek.
Tailscale: őszinte ajánlás a legtöbb csapatnak
A Tailscale valóban elég jó a legtöbb csapatnak. A vezérlősíkot a Tailscale üzemelteti, az adatsík közvetlen peer-to-peer, az ingyenes csomag pedig 100 eszközt fed le. A beállítás öt percnél rövidebb. A NAT-átjárás konfiguráció nélkül működik a legtöbb hálózati környezetben. Az ACL-eket központilag kezelik.
Az őszinte kikötés: a vezérlősík egy harmadik féltől való függőség. A Tailscale osztja szét a WireGuard-kulcsokat, amelyek összekötik az eszközeidet. Ha a Tailscale koordinációs szervere kompromittálódik, egy támadó elvileg beékelődhet a meshbe. A Tailscale részletes fenyegetésimodell-dokumentációt tesz közzé, amely ezt elismeri, és tailnet-zárakat, valamint csomópont-tanúsítást használ az ez elleni megerősítéshez. A legtöbb csapat számára ez a függőség elfogadható. Azon csapatok számára, amelyek fenyegetési modellje nemzetállami támadókat vagy a koordinációs metaadatokra vonatkozó szigorú szabályozási követelményeket foglal magában, nem az.
A Tailscale adatsíkja lehetőség szerint megkerüli a cég szervereit. Ha a közvetlen peer-to-peer kapcsolat meghiúsul, a forgalom a Tailscale DERP relészervereire esik vissza, amelyek nagyjából 5 Mbps-re vannak korlátozva. Ha a csomópontjaid közül kettő a NAT-patológia miatt mindig a DERP-en köt ki, a relé korlátozása lesz a szűk keresztmetszet.
Profi tipp: ha az otthoni internetszolgáltatód Carrier-Grade NAT-ot használ, nem tudsz bejövő kapcsolatokat fogadni otthon. A Tailscale és a Headscale ezt automatikusan kezeli hole-punching és DERP-tartalék révén. A nyers WireGuardhoz egy nyilvánosan elérhető VPS szükséges reléként, ahol az otthoni csomópont kliensként működik, amely kimenő kapcsolatokat kezdeményez.
Headscale: amikor birtokolnod kell a vezérlősíkot
A Headscale a Tailscale koordinációs szerverének nyílt forráskódú újraimplementációja. A Tailscale hivatalos kliense a Headscale-hez csatlakozik a Tailscale által üzemeltetett szerverek helyett, és a felhasználói élmény hasonló. De van egy döntő kompromisszuma: te magad üzemelteted a vezérlősíkot, ami azt jelenti, hogy a rendelkezésre állás, a frissítések és a biztonsági javítások a te problémád.
A Headscale-ből hiányzik a Tailscale csiszoltságának egy része. Az ACL-konfiguráció YAML és CLI alapú, nem webes felület. Időnként felmerülnek olyan MagicDNS szélsőséges esetek, amelyeket a hivatalos kliens az üzemeltetett verzióban csendben kezel. A projekt jól karbantartott, éles üzemben fut olyan szervezeteknél, amelyeknek szükségük van rá, és alkalmas azon csapatok számára, amelyek fenyegetési modellje vagy megfelelőségi helyzete saját üzemeltetésű koordinációt igényel.
A Headscale karbantartása folyamatos munka. Ha inkább áthárítanád ezt, egy Linux VPS 99.95%-os rendelkezésre állási SLA-val és 24/7 támogatással kezeli a vezérlő terhelését az ügyeleti teher nélkül. Maga a vezérlő könnyű, mert csak a koordinációt kezeli; a tényleges mesh-forgalom peer-to-peer.
Netmaker
A Netmaker egy alternatív koordinációs réteg, amely a WireGuard tetején fut, ahelyett hogy a Tailscale-t implementálná újra. Az architekturális különbség jelentős: amikor a közvetlen peer-to-peer kapcsolat meghiúsul, a Netmaker saját üzemeltetésű relécsomópontokon keresztül tud útválasztani az 5 Mbps korlátozás nélkül, amelyet a Tailscale DERP-je kényszerít ki. Azon csapat-meshek számára, amelyeknek a NAT-hibákon át konzisztens átviteli teljesítményre van szükségük, ez számít.
A Netmaker fejlesztői élménye nyersebb, mint a Tailscale-é. A közösségi kiadás egyetlen VPS-en fut, és támogatja azokat a felhasználási eseteket, amelyekkel a legtöbb kis csapat rendelkezik. A Netmaker kereskedelmi kiadása vállalati funkciókkal egészül ki, de ez nem része ennek a tárgyalásnak.
A egykattintásos Netmaker VPS-ünk gyors telepítéssel érkezik gyors infrastruktúrán.
3. felhasználási eset: a cenzúra megkerülése
Gyors ítélet: Hiddify Manager az aktív cenzúrázott környezetekhez. Outline az egyszerűbb régiókhoz. A WireGuard és az OpenVPN nem éli túl a mélycsomag-vizsgálatot (DPI). Ne telepítsd őket cenzúra elleni eszközként.
A WireGuard forgalma az UDP-csomagszerkezete alapján azonosítható, így blokkolható. A probléma nem az, hogy a WireGuard titkosítása gyenge. A titkosítás rendben van. A probléma az, hogy a titkosított csomagok úgy néznek ki, mint egy VPN, és a modern cenzúra a csomag alakját, időzítését és protokoll-ujjlenyomatait vizsgálja, nem csak a hasznos teher tartalmát.
Egy saját üzemeltetésű VPN mint az egyetlen cenzúra elleni eszközöd minden olyan környezetben kudarcot vall, ahol aktív mélycsomag-vizsgálat (DPI) van. A helyes megközelítés egy másik kategóriájú eszköz: olyan forgalom, amely elég jól utánozza a hétköznapi webböngészést ahhoz, hogy a cenzor ne tudja megkülönböztetni egy valódi weboldal felé irányuló valódi HTTPS-forgalomtól.
Ez a kategória gyorsabban avul el, mint az útmutató többi része. A cenzorok alkalmazkodnak. A protokollokat blokkolják. Az új álcázási módszerek, mint a REALITY és a Hysteria2, az elmúlt két évben jelentek meg, és a következő kettő még többet hoz. A kiválasztási logika, vagyis az álcázás szintjének a cenzúrázott környezethez igazítása, tartós. Az a konkrét eszköz, amely ma működik az országodban, hat hónap múlva lehet, hogy nem fog. A Hiddify GitHub-tárolója és hibakövetője az a hely, ahol a telepítés előtt ellenőrizheted az aktuális állapotot.
Hiddify Manager: a jelenlegi legjobb válasz
A Hiddify Manager egy metaeszköz. Önmagában nem egyetlen VPN-protokoll; egy adminisztrációs réteg, amely 20-nál több mögöttes cenzúra elleni protokollt telepít, kezel és rotál egyetlen VPS-en. A Hiddify v12 kiadás, amely 2026 februárjában jelent meg, a következőket támogatja:
- Reality (XTLS a VLESS felett)
- Hysteria2
- Shadowsocks-2022 a TLS-változatokkal
- V2Ray és Xray WS, gRPC és H2 transzportokkal
- WireGuard tartalékként
A webes adminpanel kezeli a felhasználókezelést, a forgalmi korlátokat és a felhasználónkénti protokoll-útválasztást.
A protokollrotációs funkció a gyakorlatban számító rész: amikor egy protokoll kezd elbukni egy adott országban, az adminisztrátor a szerver újratelepítése nélkül átkapcsolja a felhasználókat egy másikra. Ez az üzemeltetési különbség a Hiddify és egy egyprotokollos stack között.
Két protokollal kapcsolatos megjegyzést érdemes megérteni a telepítés előtt. A Reality a TLS-ujjlenyomat kijátszásának jelenlegi csúcstechnológiája. Egy valódi nyilvános weboldal felé irányuló valódi HTTPS-kapcsolatot utánoz (amelyet az üzemeltető választ ki, jellemzően egy nagy forgalmú oldalt, mint a cloudflare.com), és a kézfogást vizsgáló cenzor azt látja, ami egy szokványos kapcsolatnak tűnik az adott oldalhoz. A Hysteria2 egy UDP-alapú protokoll beépített álcázással, amely jól teljesít veszteséges hálózatokon; gyorsabb a TCP-alapú alternatíváknál, amikor a hálózat instabil, ami a korlátozott környezetekben a legtöbb fogyasztói kapcsolatot leírja.
A Cloudzy piactere egykattintásos Hiddify-image-et is kínál ugyanazon a Linux VPS-infrastruktúrán, amely percek alatt telepíthető.
A helyszín kiválasztása ennél a felhasználási esetnél eltér az adatvédelmi felhasználási esetektől. Kerüld az US és a nagyobb EU kilépési pontokat, amikor erős detektálású régiókban lévő felhasználókat szolgálsz ki. A jó lehetőségek közé tartozik Dubai, Frankfurt, Amsterdam és Szingapúr, amelyek széles földrajzi lefedettséget kínálnak.
V2Ray, Xray, Shadowsocks: az alatta lévő réteg
V2Ray és forkja, az Xray az a protokollcsalád, amelyet a Hiddify becsomagol. Ha a Hiddify túl sok absztrakció, és egyetlen protokollt szeretnél telepíteni manuális konfigurációval, akkor közvetlenül a V2Ray vagy az Xray az út. A kompromisszum üzemeltetési jellegű: egyedül kezeled a démont, a TLS-tanúsítványt, az álcázási beállítást és a hibamódokat. A legtöbb olvasót jobban kiszolgálja a Hiddify.
Shadowsocks régebbi. Az eredeti protokoll sok környezetben még működik, de a modern DPI egyre inkább észleli. A Shadowsocks-2022 stream-cipher frissítéseket adott hozzá, amelyek a detektálás néhány osztályát lezárják, de önmagában nem kezeli a protokoll-ujjlenyomat-támadásokat. Egy Hiddify-telepítésen belül ésszerű egyik lehetőségként, önálló eszközként 2026-ban kevésbé ésszerű.
Outline: egyszerűbb régiók
Az Outline a Jigsaw Shadowsocks köré épült wrappere, barátságos admin felülettel. 2026-ban független projektként az Outline Foundationhöz került át. Az Outline ésszerű választás olyan környezetekben lévő felhasználók számára, ahol a cenzúra kevésbé agresszív, ahol az egyszerű Shadowsocks osztályú álcázás még működik, és ahol a telepítő nem technikai beállítottságú, és csomagolt élményt szeretne. A Hiddify a legtöbb környezetben szélesebb terepet fed le.
Egymás melletti összehasonlítás
| Eszköz | Legjobb a következőhöz | Beállítás | Átviteli teljesítmény | Tűzfalátjárás | Min. VPS-követelmény | Bizalmi modell |
|---|---|---|---|---|---|---|
| WireGuard | Személyes kilépési csomópont | Alacsony | ~210 Mbps alagútban, ~8 Gbps kernel bare-metal | Csak UDP; egyes hálózatok blokkolják | 12 MB RAM | Saját üzemeltetésű; te irányítod az összes kulcsot |
| WireGuard Easy | Személyes, webes felület előnyben | Alacsony | Megegyezik a WireGuarddal | Csak UDP | 512 MB RAM | Saját üzemeltetésű |
| OpenVPN AS | UDP-blokkolt hálózatok | Közepes | ~110 Mbps alagútban | A TCP 443 HTTPS-nek tűnik | 1 GB RAM | Saját üzemeltetésű; 2 ingyenes kapcsolat |
| Pritunl | Kis csapatú OpenVPN/WG irányítópult | Közepes | Az alapul szolgáló protokollal összemérhető | UDP vagy TCP | 2 GB RAM | Saját üzemeltetésű; nincs felhasználónkénti díj |
| Tailscale | A legtöbb csapat | Nagyon alacsony | Közvetlen P2P közel vonalsebességgel; DERP 5 Mbps-re korlátozva | NAT-átjárás automatikus | Nincs szükség rá (üzemeltetett vezérlősík) | Üzemeltetett vezérlősík |
| Headscale | Saját üzemeltetésű vezérlősíkot igénylő csapatok | Közepes | Megegyezik a Tailscale-lel | NAT-átjárás automatikus | 1 GB RAM | Teljesen saját üzemeltetésű |
| Netmaker | Csapat-mesh, DERP-korlátozás nélkül | Közepes | WireGuard osztályú átviteli teljesítmény | NAT-átjárás saját üzemeltetésű reléken keresztül | 1 GB RAM | Teljesen saját üzemeltetésű |
| Hiddify Manager | Cenzúra elleni, korlátozó régiók | Közepes (webes felület) | Protokollfüggő | DPI-kijátszás REALITY, Hysteria2 stb. révén | 1 GB RAM | Saját üzemeltetésű |
Először a felhasználási esetet válaszd ki
A döntés az eszköz előtt áll.
- Telepíts WireGuardot amikor a felhasználási eseted a személyes adatvédelem saját kilépési csomópontként.
- Használj Tailscale-t ha a felhasználási eseted egy csapat gépeinek összekötése, hacsak a vezérlősík birtoklása nem része a fenyegetési modellednek, amely esetben válaszd a Headscale-t vagy a Netmakert.
Az eszközök nem felcserélhetők; az a hibamód, amikor egyiket egy másik felhasználási esetre használod, valós.
Bármelyik út is érvényes, a telepítés és karbantartás nehéz része továbbra is megmarad. A Cloudzy piacterén minden fent tárgyalt eszközhöz van egykattintásos telepítés. A nehéz rész az eszköz illesztése a fenyegetési modellhez. Az a rész bármilyen telepítési gomb előtt áll.
Gyakran ismételt kérdések
WireGuardot vagy OpenVPN-t használjak a saját üzemeltetésű VPN-emhez?
WireGuardot szinte minden esetben. Gyorsabb, alacsonyabb a késleltetése, a Linux kernelben szállítják, és sokkal egyszerűbb konfigurálni. OpenVPN-t csak akkor használj, ha UDP-blokkoló tűzfalakon kell átjutnod (TCP port 443-on konfigurálva), vagy ha olyan széles körű, régi kliensek támogatására van szükséged, amelyet a WireGuard még nem céloz meg.
Valóban saját üzemeltetésű a Tailscale?
Nem. A Tailscale adatsíkja peer-to-peer, de a vezérlősíkot (kulcselosztás, identitáskoordináció) a Tailscale üzemelteti. Sok csapat számára a Tailscale üzemeltetett vezérlősíkja elfogadható; a kérdés az, hogy a fenyegetési modelled olyan függőségként kezeli-e, amelyet elfogadhatsz.
Mekkora a minimális VPS-méret egy saját üzemeltetésű VPN futtatásához?
512 MB of RAM and one virtual CPU is enough for personal WireGuard or OpenVPN. For team mesh controllers like Headscale or Netmaker, 1 GB of RAM is comfortable. For anti-censorship multi-user setups like Hiddify, 1 to 2 GB of RAM handles a small group of users. None of these workloads need a CPU-optimised plan.
Futtathatok WireGuardot, ha az otthoni internetszolgáltatóm CGNAT-ot használ?
Olyan szerverként nem, amelyhez kívülről kezdeményezel kapcsolatot. A Carrier-Grade NAT teljesen megakadályozza a bejövő kapcsolatokat az otthoni IP-dhez. Két út kerüli meg ezt: bérelj egy kis VPS-t nyilvánosan elérhető reléként, ahol az otthoni eszközöd kifelé csatlakozik hozzá; vagy használj Tailscale-t vagy Headscale-t, amelyek a NAT-átjárást automatikusan kezelik hole-punching révén. Mindkettő működik; a VPS-megközelítés stabil IP-t ad, a Tailscale-megközelítés egy mesht ad.