Ugrás a fő tartalomra
50% kedvezmény minden csomagra, korlátozott ideig. Már $2.48/mo
16 min left
Biztonság és hálózat

A legjobb önállóan üzemeltetett VPN-megoldások, előnyeik és hátrányaik, felhasználási eseteik és speciális részleteik

J Szerző: Jonas 16 perc olvasás
Best self-hosted VPN solutions guide: WireGuard, Tailscale, Hiddify compared by use case

A „saját üzemeltetésű VPN” három különböző dolgot jelent három különböző közönség számára, és a legtöbb listacikk azért bukik el, mert egyként kezeli őket. Egy felhasználó, akinek fontos a magánélet védelme, és a saját kilépési csomópontjával szeretne lecserélni egy kereskedelmi VPN-szolgáltatást, nem ugyanazt a problémát oldja meg, mint egy négyfős mérnökcsapat, amely egy otthoni labort köt össze az AWS-szel. Az eszközök átfedik egymást, de az egyik feladathoz megfelelő eszköz ritkán a megfelelő eszköz egy másikhoz.

Ez az útmutató e felosztás köré épül. Három felhasználási eset, három fő ajánlás, és az ezekhez tartozó őszinte kompromisszumok. Itt nincsenek beállítási lépésről lépésre útmutatók. Miután azonosítottuk a feladatodhoz megfelelő eszközt, hivatkozások következnek a teljes beállítási útmutatókra.

A rövid verzió

  • A személyes magánélet védelméhez saját kilépési csomópontként telepíts WireGuardot egy kis VPS-re egy nem Five Eyes joghatóságban. A WireGuard Easy webes felülettel egészíti ki, ha igényled. OpenVPN csak akkor, ha a hálózatod blokkolja az UDP-t.
  • Laptopokat, otthoni laborokat és felhőbeli VPC-ket összekötő csapat-meshhez a Tailscale a pragmatikus válasz a legtöbb csapat számára. Headscale-t vagy Netmakert csak akkor futtass, ha a vezérlősík birtoklása a fenyegetési modelled része.
  • A korlátozó internetes környezetekben lévő felhasználók számára a Hiddify Manager a jelenlegi legjobb válasz. A WireGuard és az OpenVPN önmagában nem éli túl a mélycsomag-vizsgálatot (DPI).
  • Egy 1 vCPU, 512 MB VPS bőven elbír egy személyes WireGuard-szervert. A szűk keresztmetszet a sávszélesség, nem a számítási kapacitás.

Mikor van valóban értelme egy VPN saját üzemeltetésének

Comparison of self-hosted VPN versus commercial VPN: one exit IP you control versus thousands of shared IPs

Egy kereskedelmi VPN több ezer megosztott kilépési IP-t és nulla karbantartást ad. Egy saját üzemeltetésű VPN pontosan egy IP-t, egy helyszínt és teljes felelősséget ad a szerverért. Ezek különböző termékek, függetlenül attól, ahogyan gyakran reklámozzák őket.

A saját üzemeltetés akkor a helyes választás, ha az alábbiak egyike igaz:

  • Minimalizálni szeretnéd azoknak a feleknek a számát, akik láthatják a titkosítatlan forgalmadat. Egy kereskedelmi VPN-nél a szolgáltató láthatja. Egy saját üzemeltetésű VPN-nél csak te láthatod.
  • Egy konkrét joghatóságra van szükséged. Frankfurt a GDPR szempontjából. Sydney a földrajzilag korlátozott ausztrál szolgáltatások teszteléséhez. Svájc az erősebb adatvédelmi törvény miatt (amikor van készlet). A kereskedelmi szolgáltatók ezt elfedik, a saját üzemeltetés egyértelművé teszi.
  • Csapatinfrastruktúrát kötsz össze, nem csupán személyes böngészést irányítasz.
  • Olyan cenzúrázott környezetben vagy, ahol maguk a kereskedelmi VPN-ek is blokkolva vannak.

A saját üzemeltetés rossz választás, ha maximális IP-sokféleséget szeretnél streameléshez, ha nem akarsz egy Linux szervert karbantartani, vagy ha a fenyegetési modelled pusztán annyi, hogy „megakadályozzam, hogy az internetszolgáltatóm eladja a böngészési adataimat”. A harmadik esetben a titkosított DNS és a meglévő böngésződ a munka java részét elvégzi.

Van egy korlát, amelyet érdemes korán megnevezni, mert a saját üzemeltetésű VPN-ek sok őszinte tárgyalásában felmerül. A WireGuard tervezésénél fogva megőrzi az utoljára látott IP-címet minden peer esetében a kernel állapotában. Egy kereskedelmi VPN-szolgáltató állíthatja, hogy „nincs naplózás”, de ezt sehogy nem tudod ellenőrizni. Egy saját üzemeltető ellenőrizheti, és az ellenőrzés meg fogja mutatni, hogy a kernel valóban ismeri azt az IP-t, amelyről a telefonod ma reggel csatlakozott. A megoldás nem ennek figyelmen kívül hagyása, hanem a kulcsok rotálása, a kernelállapot ütemezett törlése és a kompromisszum elfogadása.

1. felhasználási eset: személyes adatvédelmi kilépési csomópont

Gyors ítélet: WireGuard egy kis VPS-en egy nem Five Eyes joghatóságban. WireGuard Easy, ha parancssor nélküli webes felületet szeretnél. OpenVPN csak akkor, ha az UDP blokkolva van azon a hálózaton, ahonnan csatlakozol.

WireGuard: az alapértelmezett választás

WireGuard exit node diagram: a VPS in a non-Five-Eyes jurisdiction routing encrypted traffic

A WireGuard a helyes válasz az adatvédelmi kilépési csomópont felhasználási esetére.

A protokoll a Noise keretrendszert használja a kulcscseréhez, és egyetlen oda-vissza úttal befejezi a kézfogást. Az OpenVPN TLS-t használ, ami több oda-vissza utat igényel, és közben több metaadatot tár fel. A WireGuard késleltetési többlete jellemzően 1–3 milliszekundum az alapul szolgáló kapcsolaton felül. Az OpenVPN 20–30 százalék késleltetési többletet ad hozzá hasonló körülmények között.

Az átviteli teljesítmény adatai egy lektorált 2025-ös benchmarkból, amely az MDPI Computers folyóiratában jelent meg: nagyjából 210 Mbps WireGuard felett, szemben a 110 Mbps OpenVPN feletti értékkel ugyanazon TCP-alagútban futó virtuális gép körülményei között. Bare-metal hardveren engedélyezett kernelmodullal a nyers WireGuard nagyjából 8 Gbps-t produkál gigabit osztályú hardveren; ott a határt a hálózati kártya jelenti, nem a protokoll.

A kódbázis körülbelül 4,000 sor. Az OpenVPN-é sokszor nagyobb. Egy kis kódbázis önmagában nem jelent biztonságot, de gyakorlatilag lehetővé teszi az auditokat. A WireGuardot auditálták; a 5.6-os fő Linux kernelben jelent meg, és a legtöbb disztribúcióban alapértelmezett.

A konfiguráció egy 12 soros szövegfájl. Nincs ok arra, hogy ennél bonyolultabb legyen. A teljes beállítási útmutató dokumentálva van a blogunkon, amely lefedi a csomagtelepítést, a kulcsgenerálást, a peer-konfigurációt és a tűzfalszabályokat.

Egy olcsó, egyszerű VPS bőséges sávszélességgel elbír egy személyes WireGuard-szervert. A szűk keresztmetszet az otthoni internetkapcsolatod lesz, nem a szerver. A legtöbb olvasó számára egy olcsó VPS több mint elegendő a WireGuard-beállítás futtatásához.

Profi tipp: a WireGuard a kernel állapotában naplózza minden peer utoljára látott IP-címét. A valódi, naplómentes adatvédelemhez fogadd el ezt, és rotáld a kulcsokat, vagy töröld a kernelállapotot ütemezetten. Ne tégy úgy, mintha a korlát nem létezne. A Proton VPN WireGuard adatvédelmi technikai jegyzete a saját telepítésében elismeri ezt.

WireGuard webes felülettel

Ha a peerek parancssorból való kezelése nem vonzó, két wrappert érdemes ismerni.

A WireGuard Easy egy Docker konténer, amely egy webes adminpanelt biztosít. Peer-konfigurációkat generál, QR-kódokat nyomtat a mobilkliensekhez, és mindent egyetlen konfigurációs köteten tárol. A beállítás gyors. Személyes használatra és kis háztartásokhoz alkalmas.

A WGDashboard egy nehézsúlyúbb alternatíva. Több peert támogat, több adminisztrációs funkcióval, hosszabb beállítási idővel. Akkor éri meg, ha 20-plus peert kezelsz; egyébként a WireGuard Easy is elegendő.

Mikor van még helye az OpenVPN-nek

Az OpenVPN nem elavult. Két konkrét forgatókönyvben fennmarad.

Az első a korlátozó hálózatok, amelyek blokkolják az UDP-t. A WireGuard tervezésénél fogva csak UDP felett fut. A vállalati hálózatok, a hotelek WiFi-je és néhány mobilszolgáltató a DNS kivételével minden UDP-forgalmat blokkol. Az OpenVPN tud TCP felett futni a port 443-on, ami segít sok korlátozó tűzfalon átjutni. Ha rendszeresen olyan hálózatokról csatlakozol, amelyek harcolnak ellened az UDP miatt, az OpenVPN a tartalék megoldás.

A második a széles körű, régi kliensek támogatása. OpenVPN kliensek léteznek minden operációs rendszerhez, amely az elmúlt tizenöt évben futott, beleértve azokat a platformokat is, amelyeket a WireGuard nem céloz meg. Ha az olvasóid közt vannak régebbi telefonok vagy eszközök, az OpenVPN kompatibilitása szélesebb körű.

Az OpenVPN Access Server egy webes admin felületet ad a protokoll fölé, és két egyidejű kapcsolatra ingyenes. Két kapcsolaton túl a licencelés felhasználónkénti. A Pritunl egy harmadik lehetőség, amely hasonló adminisztrációs irányítópultot ad mind az OpenVPN-hez, mind a WireGuardhoz, felhasználónkénti licencelés nélkül. Személyes használatra az OpenVPN AS ingyenes csomagja elegendő. Azon kis csapatok számára, amelyek elutasították a Tailscale-t, a Pritunl a tisztább választás. A nyers OpenVPN teljes telepítési útmutatóját a következő cikkünkben tárgyaljuk: az OpenVPN telepítése VPS-en.

A helyszín kiválasztása

Ezen a léptéken a joghatóság fontosabb, mint az átviteli teljesítmény. Ha a saját üzemeltetés egyik oka az hírszerzési megosztási megállapodásoknak való kitettség csökkentése, akkor a releváns csoportosulás a Five Eyes szövetség (US, UK, Kanada, Ausztrália, Új-Zéland) és kibővített partnerei. Frankfurt és Amsterdam gyakori nem Five Eyes választás Európában. Dubai akkor érdekes, ha a forgalmad a Közel-Kelet régióban van. Svájc és Szingapúr erősebb adatvédelmi keretrendszerekkel rendelkezik, de a kisebb szolgáltatóknál gyakran nincs készleten.

Ha a WireGuard megfelel az igényeidnek, a egykattintásos WireGuard VPS-ünk túljuttat a beállítási folyamaton, és percek alatt települ.

2. felhasználási eset: csapat-mesh hálózat

Gyors ítélet: Tailscale a legtöbb csapatnak. Headscale vagy Netmaker, ha birtokolnod kell a vezérlősíkot. Nyers WireGuard-mesh csak akkor, ha kevesebb mint 10 csomópontod van, és van türelmed.

Három távoli mérnök, egy otthoni labor, egy staging szerver az AWS-ben, és egy adatbázis VM egy bérelt rackben. Az öt gépnek úgy kell kommunikálnia egymással, hogy ne tegyenek közzé nyilvános portokat. Egyiküknek sincs stabil nyilvános IP-je. Kettő közülük Carrier-Grade NAT mögött ül.

Ez egy olyan probléma, amelynek elegáns, nagy léptékű megoldására a WireGuard-mesh nem lett tervezve.

Miért fáj a nyers WireGuard-mesh nagy léptékben

Chart showing quadratic growth in WireGuard peer config pairs as node count increases from 5 to 20

Egy mesh megköveteli, hogy minden peer tudjon minden más peerről. A WireGuard konfigurációs formátuma ezt közvetlenül tükrözi: minden peer rendelkezik egy [Peer] szakasszal minden olyan csomópontra, amellyel kommunikál. Öt csomópont azt jelenti, hogy minden konfigurációs fájlnak négy [Peer] blokkja van, és a mesh egészében karbantartandó konfigurációk teljes száma N-szer (N mínusz 1) osztva 2-vel.

Öt csomópontnál ez 10 kapcsolati pár. 10 csomópontnál 45. 20-nál 190. A növekedés négyzetes. Egyetlen csomópont hozzáadása egy 20 csomópontos meshhez 20 konfigurációs fájl frissítését és 20 démon újraindítását igényli. Egy kulcs eltávolítása ugyanazt igényli.

Az olyan eszközök, mint a wg-meshconf és a Netmaker, ennek automatizálására léteznek.

Tailscale: őszinte ajánlás a legtöbb csapatnak

A Tailscale valóban elég jó a legtöbb csapatnak. A vezérlősíkot a Tailscale üzemelteti, az adatsík közvetlen peer-to-peer, az ingyenes csomag pedig 100 eszközt fed le. A beállítás öt percnél rövidebb. A NAT-átjárás konfiguráció nélkül működik a legtöbb hálózati környezetben. Az ACL-eket központilag kezelik.

Az őszinte kikötés: a vezérlősík egy harmadik féltől való függőség. A Tailscale osztja szét a WireGuard-kulcsokat, amelyek összekötik az eszközeidet. Ha a Tailscale koordinációs szervere kompromittálódik, egy támadó elvileg beékelődhet a meshbe. A Tailscale részletes fenyegetésimodell-dokumentációt tesz közzé, amely ezt elismeri, és tailnet-zárakat, valamint csomópont-tanúsítást használ az ez elleni megerősítéshez. A legtöbb csapat számára ez a függőség elfogadható. Azon csapatok számára, amelyek fenyegetési modellje nemzetállami támadókat vagy a koordinációs metaadatokra vonatkozó szigorú szabályozási követelményeket foglal magában, nem az.

A Tailscale adatsíkja lehetőség szerint megkerüli a cég szervereit. Ha a közvetlen peer-to-peer kapcsolat meghiúsul, a forgalom a Tailscale DERP relészervereire esik vissza, amelyek nagyjából 5 Mbps-re vannak korlátozva. Ha a csomópontjaid közül kettő a NAT-patológia miatt mindig a DERP-en köt ki, a relé korlátozása lesz a szűk keresztmetszet.

Profi tipp: ha az otthoni internetszolgáltatód Carrier-Grade NAT-ot használ, nem tudsz bejövő kapcsolatokat fogadni otthon. A Tailscale és a Headscale ezt automatikusan kezeli hole-punching és DERP-tartalék révén. A nyers WireGuardhoz egy nyilvánosan elérhető VPS szükséges reléként, ahol az otthoni csomópont kliensként működik, amely kimenő kapcsolatokat kezdeményez.

Headscale: amikor birtokolnod kell a vezérlősíkot

Architecture diagram comparing Tailscale hosted control plane, self-hosted Headscale, and Netmaker coordination layers

A Headscale a Tailscale koordinációs szerverének nyílt forráskódú újraimplementációja. A Tailscale hivatalos kliense a Headscale-hez csatlakozik a Tailscale által üzemeltetett szerverek helyett, és a felhasználói élmény hasonló. De van egy döntő kompromisszuma: te magad üzemelteted a vezérlősíkot, ami azt jelenti, hogy a rendelkezésre állás, a frissítések és a biztonsági javítások a te problémád.

A Headscale-ből hiányzik a Tailscale csiszoltságának egy része. Az ACL-konfiguráció YAML és CLI alapú, nem webes felület. Időnként felmerülnek olyan MagicDNS szélsőséges esetek, amelyeket a hivatalos kliens az üzemeltetett verzióban csendben kezel. A projekt jól karbantartott, éles üzemben fut olyan szervezeteknél, amelyeknek szükségük van rá, és alkalmas azon csapatok számára, amelyek fenyegetési modellje vagy megfelelőségi helyzete saját üzemeltetésű koordinációt igényel.

A Headscale karbantartása folyamatos munka. Ha inkább áthárítanád ezt, egy Linux VPS 99.95%-os rendelkezésre állási SLA-val és 24/7 támogatással kezeli a vezérlő terhelését az ügyeleti teher nélkül. Maga a vezérlő könnyű, mert csak a koordinációt kezeli; a tényleges mesh-forgalom peer-to-peer.

Netmaker

A Netmaker egy alternatív koordinációs réteg, amely a WireGuard tetején fut, ahelyett hogy a Tailscale-t implementálná újra. Az architekturális különbség jelentős: amikor a közvetlen peer-to-peer kapcsolat meghiúsul, a Netmaker saját üzemeltetésű relécsomópontokon keresztül tud útválasztani az 5 Mbps korlátozás nélkül, amelyet a Tailscale DERP-je kényszerít ki. Azon csapat-meshek számára, amelyeknek a NAT-hibákon át konzisztens átviteli teljesítményre van szükségük, ez számít.

A Netmaker fejlesztői élménye nyersebb, mint a Tailscale-é. A közösségi kiadás egyetlen VPS-en fut, és támogatja azokat a felhasználási eseteket, amelyekkel a legtöbb kis csapat rendelkezik. A Netmaker kereskedelmi kiadása vállalati funkciókkal egészül ki, de ez nem része ennek a tárgyalásnak.

A egykattintásos Netmaker VPS-ünk gyors telepítéssel érkezik gyors infrastruktúrán.

3. felhasználási eset: a cenzúra megkerülése

Gyors ítélet: Hiddify Manager az aktív cenzúrázott környezetekhez. Outline az egyszerűbb régiókhoz. A WireGuard és az OpenVPN nem éli túl a mélycsomag-vizsgálatot (DPI). Ne telepítsd őket cenzúra elleni eszközként.

A WireGuard forgalma az UDP-csomagszerkezete alapján azonosítható, így blokkolható. A probléma nem az, hogy a WireGuard titkosítása gyenge. A titkosítás rendben van. A probléma az, hogy a titkosított csomagok úgy néznek ki, mint egy VPN, és a modern cenzúra a csomag alakját, időzítését és protokoll-ujjlenyomatait vizsgálja, nem csak a hasznos teher tartalmát.

Egy saját üzemeltetésű VPN mint az egyetlen cenzúra elleni eszközöd minden olyan környezetben kudarcot vall, ahol aktív mélycsomag-vizsgálat (DPI) van. A helyes megközelítés egy másik kategóriájú eszköz: olyan forgalom, amely elég jól utánozza a hétköznapi webböngészést ahhoz, hogy a cenzor ne tudja megkülönböztetni egy valódi weboldal felé irányuló valódi HTTPS-forgalomtól.

Ez a kategória gyorsabban avul el, mint az útmutató többi része. A cenzorok alkalmazkodnak. A protokollokat blokkolják. Az új álcázási módszerek, mint a REALITY és a Hysteria2, az elmúlt két évben jelentek meg, és a következő kettő még többet hoz. A kiválasztási logika, vagyis az álcázás szintjének a cenzúrázott környezethez igazítása, tartós. Az a konkrét eszköz, amely ma működik az országodban, hat hónap múlva lehet, hogy nem fog. A Hiddify GitHub-tárolója és hibakövetője az a hely, ahol a telepítés előtt ellenőrizheted az aktuális állapotot.

Hiddify Manager: a jelenlegi legjobb válasz

Hiddify Manager admin panel showing protocol rotation options: REALITY, Hysteria2, Shadowsocks-2022, V2Ray, and WireGuard fallback

A Hiddify Manager egy metaeszköz. Önmagában nem egyetlen VPN-protokoll; egy adminisztrációs réteg, amely 20-nál több mögöttes cenzúra elleni protokollt telepít, kezel és rotál egyetlen VPS-en. A Hiddify v12 kiadás, amely 2026 februárjában jelent meg, a következőket támogatja:

  • Reality (XTLS a VLESS felett)
  • Hysteria2
  • Shadowsocks-2022 a TLS-változatokkal
  • V2Ray és Xray WS, gRPC és H2 transzportokkal
  • WireGuard tartalékként

A webes adminpanel kezeli a felhasználókezelést, a forgalmi korlátokat és a felhasználónkénti protokoll-útválasztást.

A protokollrotációs funkció a gyakorlatban számító rész: amikor egy protokoll kezd elbukni egy adott országban, az adminisztrátor a szerver újratelepítése nélkül átkapcsolja a felhasználókat egy másikra. Ez az üzemeltetési különbség a Hiddify és egy egyprotokollos stack között.

Két protokollal kapcsolatos megjegyzést érdemes megérteni a telepítés előtt. A Reality a TLS-ujjlenyomat kijátszásának jelenlegi csúcstechnológiája. Egy valódi nyilvános weboldal felé irányuló valódi HTTPS-kapcsolatot utánoz (amelyet az üzemeltető választ ki, jellemzően egy nagy forgalmú oldalt, mint a cloudflare.com), és a kézfogást vizsgáló cenzor azt látja, ami egy szokványos kapcsolatnak tűnik az adott oldalhoz. A Hysteria2 egy UDP-alapú protokoll beépített álcázással, amely jól teljesít veszteséges hálózatokon; gyorsabb a TCP-alapú alternatíváknál, amikor a hálózat instabil, ami a korlátozott környezetekben a legtöbb fogyasztói kapcsolatot leírja.

A Cloudzy piactere egykattintásos Hiddify-image-et is kínál ugyanazon a Linux VPS-infrastruktúrán, amely percek alatt telepíthető.

A helyszín kiválasztása ennél a felhasználási esetnél eltér az adatvédelmi felhasználási esetektől. Kerüld az US és a nagyobb EU kilépési pontokat, amikor erős detektálású régiókban lévő felhasználókat szolgálsz ki. A jó lehetőségek közé tartozik Dubai, Frankfurt, Amsterdam és Szingapúr, amelyek széles földrajzi lefedettséget kínálnak.

V2Ray, Xray, Shadowsocks: az alatta lévő réteg

V2Ray és forkja, az Xray az a protokollcsalád, amelyet a Hiddify becsomagol. Ha a Hiddify túl sok absztrakció, és egyetlen protokollt szeretnél telepíteni manuális konfigurációval, akkor közvetlenül a V2Ray vagy az Xray az út. A kompromisszum üzemeltetési jellegű: egyedül kezeled a démont, a TLS-tanúsítványt, az álcázási beállítást és a hibamódokat. A legtöbb olvasót jobban kiszolgálja a Hiddify.

Shadowsocks régebbi. Az eredeti protokoll sok környezetben még működik, de a modern DPI egyre inkább észleli. A Shadowsocks-2022 stream-cipher frissítéseket adott hozzá, amelyek a detektálás néhány osztályát lezárják, de önmagában nem kezeli a protokoll-ujjlenyomat-támadásokat. Egy Hiddify-telepítésen belül ésszerű egyik lehetőségként, önálló eszközként 2026-ban kevésbé ésszerű.

Outline: egyszerűbb régiók

Az Outline a Jigsaw Shadowsocks köré épült wrappere, barátságos admin felülettel. 2026-ban független projektként az Outline Foundationhöz került át. Az Outline ésszerű választás olyan környezetekben lévő felhasználók számára, ahol a cenzúra kevésbé agresszív, ahol az egyszerű Shadowsocks osztályú álcázás még működik, és ahol a telepítő nem technikai beállítottságú, és csomagolt élményt szeretne. A Hiddify a legtöbb környezetben szélesebb terepet fed le.

Egymás melletti összehasonlítás

Eszköz Legjobb a következőhöz Beállítás Átviteli teljesítmény Tűzfalátjárás Min. VPS-követelmény Bizalmi modell
WireGuard Személyes kilépési csomópont Alacsony ~210 Mbps alagútban, ~8 Gbps kernel bare-metal Csak UDP; egyes hálózatok blokkolják 12 MB RAM Saját üzemeltetésű; te irányítod az összes kulcsot
WireGuard Easy Személyes, webes felület előnyben Alacsony Megegyezik a WireGuarddal Csak UDP 512 MB RAM Saját üzemeltetésű
OpenVPN AS UDP-blokkolt hálózatok Közepes ~110 Mbps alagútban A TCP 443 HTTPS-nek tűnik 1 GB RAM Saját üzemeltetésű; 2 ingyenes kapcsolat
Pritunl Kis csapatú OpenVPN/WG irányítópult Közepes Az alapul szolgáló protokollal összemérhető UDP vagy TCP 2 GB RAM Saját üzemeltetésű; nincs felhasználónkénti díj
Tailscale A legtöbb csapat Nagyon alacsony Közvetlen P2P közel vonalsebességgel; DERP 5 Mbps-re korlátozva NAT-átjárás automatikus Nincs szükség rá (üzemeltetett vezérlősík) Üzemeltetett vezérlősík
Headscale Saját üzemeltetésű vezérlősíkot igénylő csapatok Közepes Megegyezik a Tailscale-lel NAT-átjárás automatikus 1 GB RAM Teljesen saját üzemeltetésű
Netmaker Csapat-mesh, DERP-korlátozás nélkül Közepes WireGuard osztályú átviteli teljesítmény NAT-átjárás saját üzemeltetésű reléken keresztül 1 GB RAM Teljesen saját üzemeltetésű
Hiddify Manager Cenzúra elleni, korlátozó régiók Közepes (webes felület) Protokollfüggő DPI-kijátszás REALITY, Hysteria2 stb. révén 1 GB RAM Saját üzemeltetésű

Először a felhasználási esetet válaszd ki

A döntés az eszköz előtt áll.

  • Telepíts WireGuardot amikor a felhasználási eseted a személyes adatvédelem saját kilépési csomópontként.
  • Használj Tailscale-t ha a felhasználási eseted egy csapat gépeinek összekötése, hacsak a vezérlősík birtoklása nem része a fenyegetési modellednek, amely esetben válaszd a Headscale-t vagy a Netmakert.

Az eszközök nem felcserélhetők; az a hibamód, amikor egyiket egy másik felhasználási esetre használod, valós.

Bármelyik út is érvényes, a telepítés és karbantartás nehéz része továbbra is megmarad. A Cloudzy piacterén minden fent tárgyalt eszközhöz van egykattintásos telepítés. A nehéz rész az eszköz illesztése a fenyegetési modellhez. Az a rész bármilyen telepítési gomb előtt áll.

Gyakran ismételt kérdések

WireGuardot vagy OpenVPN-t használjak a saját üzemeltetésű VPN-emhez?

WireGuardot szinte minden esetben. Gyorsabb, alacsonyabb a késleltetése, a Linux kernelben szállítják, és sokkal egyszerűbb konfigurálni. OpenVPN-t csak akkor használj, ha UDP-blokkoló tűzfalakon kell átjutnod (TCP port 443-on konfigurálva), vagy ha olyan széles körű, régi kliensek támogatására van szükséged, amelyet a WireGuard még nem céloz meg.

Valóban saját üzemeltetésű a Tailscale?

Nem. A Tailscale adatsíkja peer-to-peer, de a vezérlősíkot (kulcselosztás, identitáskoordináció) a Tailscale üzemelteti. Sok csapat számára a Tailscale üzemeltetett vezérlősíkja elfogadható; a kérdés az, hogy a fenyegetési modelled olyan függőségként kezeli-e, amelyet elfogadhatsz.

Mekkora a minimális VPS-méret egy saját üzemeltetésű VPN futtatásához?

512 MB of RAM and one virtual CPU is enough for personal WireGuard or OpenVPN. For team mesh controllers like Headscale or Netmaker, 1 GB of RAM is comfortable. For anti-censorship multi-user setups like Hiddify, 1 to 2 GB of RAM handles a small group of users. None of these workloads need a CPU-optimised plan.

Futtathatok WireGuardot, ha az otthoni internetszolgáltatóm CGNAT-ot használ?

Olyan szerverként nem, amelyhez kívülről kezdeményezel kapcsolatot. A Carrier-Grade NAT teljesen megakadályozza a bejövő kapcsolatokat az otthoni IP-dhez. Két út kerüli meg ezt: bérelj egy kis VPS-t nyilvánosan elérhető reléként, ahol az otthoni eszközöd kifelé csatlakozik hozzá; vagy használj Tailscale-t vagy Headscale-t, amelyek a NAT-átjárást automatikusan kezelik hole-punching révén. Mindkettő működik; a VPS-megközelítés stabil IP-t ad, a Tailscale-megközelítés egy mesht ad.

Share

Több a blogról

Folytassa az olvasást.

Készen áll a telepítésre? Már 2,48 $/hó-tól.

Független felhő 2008 óta. AMD EPYC, NVMe, 40 Gbps. 14 napos pénzvisszafizetési garancia.