Przejdź do treści głównej
50% zniżki wszystkie plany, oferta limitowana. Od $2.48/mo
16 min left
Bezpieczeństwo i sieci

Najlepsze samodzielnie hostowane rozwiązania VPN, ich zalety i wady, przypadki użycia oraz szczegóły niszowe

J Autor: Jonas 16 min czytania
Best self-hosted VPN solutions guide: WireGuard, Tailscale, Hiddify compared by use case

„Self-hosted VPN” oznacza trzy różne rzeczy dla trzech różnych grup odbiorców, a większość zestawień zawodzi, bo traktuje je jak jedno. Użytkownik, któremu zależy na prywatności i który chce zastąpić komercyjną usługę VPN własnym węzłem wyjściowym, nie rozwiązuje tego samego problemu, co czteroosobowy zespół inżynierów łączący domowe laboratorium z AWS. Narzędzia częściowo się pokrywają, ale właściwe narzędzie do jednego zadania rzadko jest właściwe do innego.

Ten przewodnik jest zbudowany wokół tego podziału. Trzy scenariusze użycia, trzy główne rekomendacje i uczciwe kompromisy, które wiążą się z każdym z nich. Nie ma tu instrukcji krok po kroku dotyczących konfiguracji. Gdy zidentyfikujesz właściwe narzędzie do swojego zadania, znajdziesz odnośniki do pełnych przewodników konfiguracyjnych.

Krótka wersja

  • Dla prywatności osobistej w roli własnego węzła wyjściowego wdróż WireGuard na małym VPS w jurysdykcji spoza Five Eyes. WireGuard Easy dodaje interfejs webowy, jeśli go potrzebujesz. OpenVPN tylko wtedy, gdy Twoja sieć blokuje UDP.
  • Dla sieci mesh zespołu łączącej laptopy, domowe laboratoria i chmurowe VPC Tailscale jest pragmatycznym wyborem dla większości zespołów. Uruchamiaj Headscale lub Netmaker tylko wtedy, gdy posiadanie warstwy sterującej jest częścią Twojego modelu zagrożeń.
  • Dla użytkowników w restrykcyjnych środowiskach internetowych Hiddify Manager jest obecnie najlepszą odpowiedzią. WireGuard i OpenVPN same z siebie nie przetrwają głębokiej inspekcji pakietów.
  • VPS z 1 vCPU i 512 MB obsłuży osobisty serwer WireGuard z zapasem. Wąskim gardłem jest przepustowość, a nie moc obliczeniowa.

Kiedy samodzielne hostowanie VPN naprawdę ma sens

Comparison of self-hosted VPN versus commercial VPN: one exit IP you control versus thousands of shared IPs

Komercyjny VPN daje Ci tysiące współdzielonych adresów IP wyjściowych i zero obsługi. Self-hosted VPN daje dokładnie jeden adres IP, jedną lokalizację i pełną odpowiedzialność za serwer. To różne produkty, mimo że często są sprzedawane tak samo.

Samodzielne hostowanie jest właściwym wyborem, gdy spełniony jest jeden z poniższych warunków:

  • Chcesz zminimalizować liczbę stron, które mogą widzieć Twój niezaszyfrowany ruch. W przypadku komercyjnego VPN może to robić dostawca. W przypadku self-hosted VPN możesz to robić tylko Ty.
  • Potrzebujesz konkretnej jurysdykcji. Frankfurt ze względu na RODO. Sydney do testowania australijskich usług z ograniczeniami geograficznymi. Szwajcaria dla silniejszego prawa o ochronie danych (gdy pozwala na to dostępność). Dostawcy komercyjni to zacierają; samodzielne hostowanie czyni to jawnym.
  • Łączysz infrastrukturę zespołu, a nie tylko kierujesz osobistym ruchem przeglądania.
  • Znajdujesz się w środowisku cenzury, w którym same komercyjne VPN są blokowane.

Samodzielne hostowanie jest złym wyborem, gdy zależy Ci na maksymalnej różnorodności adresów IP do streamingu, gdy nie chcesz utrzymywać serwera Linux lub gdy Twój model zagrożeń sprowadza się wyłącznie do tego, by „powstrzymać dostawcę internetu przed sprzedażą moich danych o przeglądaniu”. W tym trzecim przypadku szyfrowany DNS w połączeniu z istniejącą przeglądarką załatwia większość sprawy.

Jest jedno ograniczenie, które warto wymienić od razu, bo pojawia się w wielu uczciwych dyskusjach o self-hosted VPN. WireGuard z założenia przechowuje ostatnio widziany adres IP każdego peera w stanie jądra. Komercyjny dostawca VPN może deklarować „brak logów”, ale nie masz jak tego zweryfikować. Osoba hostująca samodzielnie może to zweryfikować, a weryfikacja pokaże, że jądro rzeczywiście zna adres IP, z którego Twój telefon połączył się dziś rano. Rozwiązaniem nie jest ignorowanie tego; jest nim rotacja kluczy, usuwanie stanu jądra według harmonogramu i zaakceptowanie tego kompromisu.

Scenariusz 1: Osobisty węzeł wyjściowy dla prywatności

Szybki werdykt: WireGuard na małym VPS w jurysdykcji spoza Five Eyes. WireGuard Easy, jeśli chcesz interfejs webowy bez wiersza poleceń. OpenVPN tylko wtedy, gdy UDP jest zablokowane w sieci, z której się łączysz.

WireGuard: domyślny wybór

WireGuard exit node diagram: a VPS in a non-Five-Eyes jurisdiction routing encrypted traffic

WireGuard jest właściwą odpowiedzią w scenariuszu węzła wyjściowego dla prywatności.

Protokół wykorzystuje framework Noise do wymiany kluczy i kończy uzgadnianie połączenia w pojedynczej rundzie. OpenVPN używa TLS, co wymaga wielu rund i ujawnia przy tym więcej metadanych. Narzut opóźnień dla WireGuard wynosi zwykle od 1 do 3 milisekund ponad bazowe połączenie. OpenVPN dodaje od 20 do 30 procent narzutu opóźnień w porównywalnych warunkach.

Wyniki przepustowości z recenzowanego benchmarku z 2025 roku w MDPI, Computers czasopiśmie: około 210 Mbps przez WireGuard wobec 110 Mbps przez OpenVPN w tych samych warunkach maszyny wirtualnej z tunelowaniem TCP. Na sprzęcie bare-metal z włączonym modułem jądra surowy WireGuard osiąga około 8 Gbps na sprzęcie klasy gigabitowej; ograniczeniem jest tu karta sieciowa, a nie protokół.

Baza kodu liczy około 4,000 linii. Baza OpenVPN jest wielokrotnie większa. Mała baza kodu sama w sobie nie jest bezpieczeństwem, ale sprawia, że audyty stają się praktyczne. WireGuard został poddany audytowi; trafił do głównej gałęzi jądra Linux w wersji 5.6 i jest domyślny w większości dystrybucji.

Konfiguracja to 12-liniowy plik tekstowy. Nie ma powodu, by była bardziej skomplikowana. Pełny przewodnik konfiguracji jest udokumentowany na naszym blogu, który obejmuje instalację pakietów, generowanie kluczy, konfigurację peerów i reguły zapory.

Tani, prosty VPS obsłuży osobisty serwer WireGuard z zapasem przepustowości. Wąskim gardłem będzie Twoje domowe łącze internetowe, a nie serwer. Dla większości czytelników tani VPS to więcej niż wystarczy, by uruchomić konfigurację WireGuard.

Wskazówka eksperta: WireGuard zapisuje ostatnio widziany adres IP każdego peera w stanie jądra. Aby uzyskać prawdziwą prywatność bez logów, zaakceptuj to i rotuj klucze lub usuwaj stan jądra według harmonogramu. Nie udawaj, że to ograniczenie nie istnieje. Nota techniczna Proton VPN dotycząca prywatności WireGuard przyznaje to we własnym wdrożeniu.

WireGuard z interfejsem webowym

Jeśli zarządzanie peerami z wiersza poleceń nie jest atrakcyjne, warto poznać dwie nakładki.

WireGuard Easy to kontener Docker, który udostępnia webowy panel administracyjny. Generuje konfiguracje peerów, drukuje kody QR dla klientów mobilnych i przechowuje wszystko w pojedynczym wolumenie konfiguracji. Konfiguracja jest szybka. Nadaje się do użytku osobistego i małych gospodarstw domowych.

WGDashboard to cięższa alternatywa. Obsługuje więcej peerów, ma więcej funkcji administracyjnych i wymaga więcej czasu na konfigurację. Warto go wybrać, jeśli zarządzasz ponad 20 peerami; w przeciwnym razie WireGuard Easy wystarczy.

Kiedy OpenVPN nadal ma rację bytu

OpenVPN nie jest przestarzały. Sprawdza się w dwóch konkretnych scenariuszach.

Pierwszy to restrykcyjne sieci, które blokują UDP. WireGuard z założenia działa wyłącznie przez UDP. Sieci korporacyjne, hotelowe WiFi i niektórzy operatorzy komórkowi blokują cały ruch UDP poza DNS. OpenVPN może działać przez TCP na port 443, co pomaga mu przejść przez wiele restrykcyjnych zapór. Jeśli regularnie łączysz się z sieci, które blokują UDP, OpenVPN jest rozwiązaniem zapasowym.

Drugi to szerokie wsparcie dla starszych klientów. Klienci OpenVPN istnieją dla każdego systemu operacyjnego działającego w ciągu ostatnich piętnastu lat, w tym dla platform, na które WireGuard nie celuje. Jeśli grono Twoich odbiorców obejmuje starsze telefony lub urządzenia, kompatybilność OpenVPN jest szersza.

OpenVPN Access Server dodaje webowy interfejs administracyjny na bazie protokołu i jest darmowy dla dwóch jednoczesnych połączeń. Powyżej dwóch połączeń licencjonowanie jest naliczane za użytkownika. Pritunl to trzecia opcja, która dodaje porównywalny panel administracyjny zarówno dla OpenVPN, jak i WireGuard, bez licencjonowania za użytkownika. Do użytku osobistego darmowy plan OpenVPN AS jest wystarczający. Dla małych zespołów, które odrzuciły Tailscale, Pritunl jest czystszym wyborem. Pełny przewodnik instalacji surowego OpenVPN omawiamy w naszym artykule o instalacji OpenVPN na VPS.

Wybór lokalizacji

Przy tej skali jurysdykcja ma większe znaczenie niż przepustowość. Jeśli częścią Twojego powodu do samodzielnego hostowania jest ograniczenie ekspozycji na porozumienia o wymianie danych wywiadowczych, istotną grupą jest sojusz Five Eyes (US, UK, Kanada, Australia, Nowa Zelandia) oraz jego rozszerzeni partnerzy. Frankfurt i Amsterdam to częste wybory spoza Five Eyes w Europie. Dubaj jest ciekawy, jeśli Twój ruch znajduje się w regionie Bliskiego Wschodu. Szwajcaria i Singapur mają silniejsze ramy ochrony danych, ale często bywają niedostępne u mniejszych dostawców.

Jeśli WireGuard odpowiada Twoim potrzebom, nasz VPS WireGuard za jednym kliknięciem pozwala pominąć proces konfiguracji i instaluje się w kilka minut.

Scenariusz 2: Sieci mesh dla zespołu

Szybki werdykt: Tailscale dla większości zespołów. Headscale lub Netmaker, jeśli potrzebujesz posiadać warstwę sterującą. Surowy mesh WireGuard tylko wtedy, gdy masz mniej niż 10 węzłów i cierpliwość.

Trzech zdalnych inżynierów, domowe laboratorium, serwer staging w AWS i maszyna wirtualna z bazą danych w kolokowanej szafie. Te pięć maszyn musi się ze sobą komunikować bez wystawiania publicznych portów. Żadna z nich nie ma stałego publicznego adresu IP. Dwie z nich znajdują się za Carrier-Grade NAT.

To problem, którego mesh WireGuard nie został zaprojektowany, by rozwiązywać elegancko przy większej skali.

Dlaczego surowy mesh WireGuard boli przy skali

Chart showing quadratic growth in WireGuard peer config pairs as node count increases from 5 to 20

Sieć mesh wymaga, by każdy peer wiedział o każdym innym peerze. Format konfiguracji WireGuard odzwierciedla to bezpośrednio: każdy peer ma sekcję [Peer] dla każdego węzła, z którym się komunikuje. Pięć węzłów oznacza, że każdy plik konfiguracyjny ma cztery bloki [Peer], a łączna liczba konfiguracji do utrzymania w całej sieci mesh wynosi N razy (N minus 1) podzielone przez 2.

Przy pięciu węzłach to 10 par połączeń. Przy 10 węzłach 45. Przy 20 to 190. Wzrost jest kwadratowy. Dodanie pojedynczego węzła do sieci mesh złożonej z 20 węzłów wymaga zaktualizowania 20 plików konfiguracyjnych i ponownego uruchomienia 20 demonów. Usunięcie klucza wymaga tego samego.

Narzędzia takie jak wg-meshconf i Netmaker istnieją, by to zautomatyzować.

Tailscale: uczciwa rekomendacja dla większości zespołów

Tailscale jest naprawdę wystarczająco dobry dla większości zespołów. Warstwa sterująca jest hostowana przez Tailscale, warstwa danych działa bezpośrednio peer-to-peer, a darmowy plan obejmuje 100 urządzeń. Konfiguracja zajmuje poniżej pięciu minut. Przechodzenie przez NAT działa w większości środowisk sieciowych bez konfiguracji. Listy ACL są zarządzane centralnie.

Uczciwe zastrzeżenie: warstwa sterująca jest zależnością od strony trzeciej. Tailscale rozprowadza klucze WireGuard, które łączą Twoje urządzenia. Jeśli serwer koordynacyjny Tailscale zostanie skompromitowany, atakujący mógłby w zasadzie wstawić się do sieci mesh. Tailscale publikuje szczegółową dokumentację modelu zagrożeń, która to przyznaje, i stosuje blokady tailnet oraz atestację węzłów, by się przed tym zabezpieczyć. Dla większości zespołów ta zależność jest akceptowalna. Dla zespołów, których model zagrożeń obejmuje atakujących na poziomie państw lub ścisłe wymogi regulacyjne dotyczące metadanych koordynacji, nie jest.

Warstwa danych Tailscale omija serwery firmy, gdy to możliwe. Gdy bezpośrednie połączenie peer-to-peer zawodzi, ruch przechodzi na serwery przekaźnikowe DERP Tailscale, które są ograniczone do około 5 Mbps. Jeśli dwa Twoje węzły zawsze lądują na DERP z powodu patologii NAT, ograniczenie przekaźnika staje się wąskim gardłem.

Wskazówka eksperta: Jeśli Twój domowy dostawca internetu używa Carrier-Grade NAT, nie możesz przyjmować połączeń przychodzących w domu. Tailscale i Headscale radzą sobie z tym automatycznie dzięki hole-punchingowi i przejściu na DERP. Surowy WireGuard wymaga publicznie osiągalnego VPS jako przekaźnika, przy czym węzeł domowy działa jako klient inicjujący połączenia wychodzące.

Headscale: kiedy potrzebujesz posiadać warstwę sterującą

Architecture diagram comparing Tailscale hosted control plane, self-hosted Headscale, and Netmaker coordination layers

Headscale to otwartoźródłowa reimplementacja serwera koordynacyjnego Tailscale. Oficjalny klient Tailscale łączy się z Headscale zamiast z hostowanymi serwerami Tailscale, a doświadczenie użytkownika jest podobne. Ma jednak jeden kluczowy kompromis: warstwę sterującą obsługujesz samodzielnie, co oznacza, że dostępność, aktualizacje i poprawki bezpieczeństwa są Twoim problemem.

Headscale brakuje części dopracowania Tailscale. Konfiguracja ACL to YAML i CLI, a nie interfejs webowy. Czasami ujawniają się przypadki brzegowe MagicDNS, które oficjalny klient w wersji hostowanej obsługuje po cichu. Projekt jest dobrze utrzymywany, działa produkcyjnie w organizacjach, które go potrzebują, i nadaje się dla zespołów, których model zagrożeń lub wymogi zgodności wymagają samodzielnie hostowanej koordynacji.

Utrzymanie Headscale to ciągła praca. Jeśli wolisz to zlecić, Linux VPS z gwarancją dostępności 99.95% SLA i wsparciem 24/7 obsłuży obciążenie kontrolera bez ciężaru dyżurów. Sam kontroler jest lekki, bo zajmuje się tylko koordynacją; właściwy ruch mesh jest peer-to-peer.

Netmaker

Netmaker to alternatywna warstwa koordynacji, która działa na bazie WireGuard, zamiast reimplementować Tailscale. Różnica architektoniczna jest istotna: gdy bezpośrednie połączenie peer-to-peer zawodzi, Netmaker może kierować ruch przez samodzielnie hostowane węzły przekaźnikowe bez ograniczenia 5 Mbps, które narzuca DERP Tailscale. Dla zespołowych sieci mesh, które potrzebują spójnej przepustowości przy awariach NAT, ma to znaczenie.

Doświadczenie deweloperskie Netmakera jest bardziej surowe niż w Tailscale. Edycja społecznościowa działa na pojedynczym VPS i obsługuje scenariusze, które ma większość małych zespołów. Edycja komercyjna Netmakera dodaje funkcje dla przedsiębiorstw, ale nie jest częścią tej dyskusji.

Nasz VPS Netmaker za jednym kliknięciem oferuje szybką instalację na wydajnej infrastrukturze.

Scenariusz 3: Omijanie cenzury

Szybki werdykt: Hiddify Manager dla środowisk z aktywną cenzurą. Outline dla prostszych regionów. WireGuard i OpenVPN nie przetrwają głębokiej inspekcji pakietów. Nie wdrażaj ich jako narzędzi antycenzuralnych.

Ruch WireGuard jest identyfikowalny po strukturze pakietów UDP, więc można go zablokować. Problemem nie jest to, że szyfrowanie WireGuard jest słabe. Szyfrowanie jest w porządku. Problem polega na tym, że zaszyfrowane pakiety wyglądają jak VPN, a nowoczesna cenzura bada kształt pakietów, czas i odciski palca protokołów, a nie tylko zawartość ładunku.

Self-hosted VPN jako jedyne narzędzie antycenzuralne zawiedzie w każdym środowisku z aktywną głęboką inspekcją pakietów. Właściwym podejściem jest inna kategoria narzędzi: ruch, który na tyle dobrze naśladuje zwykłe przeglądanie sieci, że cenzor nie potrafi odróżnić go od prawdziwego ruchu HTTPS do prawdziwej witryny.

Ta kategoria starzeje się szybciej niż reszta tego przewodnika. Cenzorzy się dostosowują. Protokoły są blokowane. Nowe metody obfuskacji, takie jak REALITY i Hysteria2, pojawiły się w ciągu ostatnich dwóch lat, a kolejne dwa lata przyniosą ich więcej. Logika wyboru, która polega na dopasowaniu poziomu obfuskacji do środowiska cenzury, jest trwała. Konkretne narzędzie, które działa dziś w Twoim kraju, może nie działać za sześć miesięcy. Repozytorium GitHub Hiddify i system śledzenia zgłoszeń to miejsce, gdzie warto sprawdzić aktualny status przed wdrożeniem.

Hiddify Manager: obecnie najlepsza odpowiedź

Hiddify Manager admin panel showing protocol rotation options: REALITY, Hysteria2, Shadowsocks-2022, V2Ray, and WireGuard fallback

Hiddify Manager to meta-narzędzie. Samo w sobie nie jest pojedynczym protokołem VPN; to warstwa administracyjna, która wdraża, zarządza i rotuje ponad 20 leżących u podstaw protokołów antycenzuralnych na pojedynczym VPS. Wydanie Hiddify v12 z lutego 2026 obsługuje:

  • Reality (XTLS przez VLESS)
  • Hysteria2
  • Shadowsocks-2022 z wariantami TLS
  • V2Ray i Xray z transportami WS, gRPC i H2
  • WireGuard jako rozwiązanie zapasowe

Webowy panel administracyjny obsługuje zarządzanie użytkownikami, limity ruchu i routing protokołów per użytkownik.

Funkcja rotacji protokołów to część, która w praktyce ma znaczenie: gdy jeden protokół zaczyna zawodzić w danym kraju, administrator przełącza użytkowników na inny bez ponownego wdrażania serwera. To operacyjna różnica między Hiddify a stosem z jednym protokołem.

Dwie uwagi o protokołach warte zrozumienia przed wdrożeniem. Reality to obecnie najnowocześniejsze rozwiązanie do unikania wykrycia odcisku palca TLS. Naśladuje prawdziwe połączenie HTTPS z prawdziwą publiczną witryną (którą wybiera operator, zwykle witryną o dużym ruchu, jak cloudflare.com), a cenzor badający uzgadnianie połączenia widzi coś, co wygląda jak zwykłe połączenie z tą witryną. Hysteria2 to protokół oparty na UDP z wbudowaną obfuskacją, który dobrze radzi sobie w sieciach ze stratami pakietów; jest szybszy niż alternatywy oparte na TCP, gdy sieć jest niestabilna, co opisuje większość połączeń konsumenckich w restrykcyjnych środowiskach.

Marketplace Cloudzy oferuje także obraz Hiddify za jednym kliknięciem na tej samej infrastrukturze Linux VPS, gotowy do wdrożenia w kilka minut.

Wybór lokalizacji w tym scenariuszu różni się od scenariuszy prywatności. Unikaj punktów wyjściowych w US i głównych krajach UE, gdy obsługujesz użytkowników w regionach o intensywnym wykrywaniu. Dobre opcje to Dubaj, Frankfurt, Amsterdam i Singapur, które oferują szerokie pokrycie geograficzne.

V2Ray, Xray, Shadowsocks: warstwa pod spodem

V2Ray i jego fork Xray to rodzina protokołów, którą opakowuje Hiddify. Jeśli Hiddify to zbyt dużo abstrakcji i chcesz wdrożyć pojedynczy protokół z ręczną konfiguracją, drogą jest bezpośrednio V2Ray lub Xray. Kompromis jest operacyjny: sam zarządzasz demonem, certyfikatem TLS, konfiguracją obfuskacji i trybami awarii. Większości czytelników lepiej posłuży Hiddify.

Shadowsocks jest starszy. Oryginalny protokół nadal działa w wielu środowiskach, ale jest coraz częściej wykrywany przez nowoczesny DPI. Shadowsocks-2022 dodał ulepszenia szyfrów strumieniowych, które zamykają niektóre klasy wykrywania, ale sam nie rozwiązuje ataków na odcisk palca protokołu. Jest rozsądny jako jedna z opcji w ramach wdrożenia Hiddify, mniej rozsądny jako samodzielne narzędzie w 2026 roku.

Outline: prostsze regiony

Outline to nakładka Jigsaw na Shadowsocks z przyjaznym interfejsem administracyjnym. W 2026 roku przeszła do Outline Foundation jako niezależny projekt. Outline to rozsądny wybór dla użytkowników w środowiskach, gdzie cenzura jest mniej agresywna, gdzie prosta obfuskacja klasy Shadowsocks nadal działa i gdzie wdrażający jest osobą nietechniczną i chce gotowego rozwiązania. Hiddify obejmuje szerszy zakres w większości środowisk.

Porównanie obok siebie

Narzędzie Najlepsze dla Konfiguracja Przepustowość Przechodzenie przez zaporę Minimalne wymagania VPS Model zaufania
WireGuard Osobisty węzeł wyjściowy Niskie ~210 Mbps tunelowane, ~8 Gbps jądro bare-metal Tylko UDP; blokowane przez niektóre sieci 12 MB RAM Samodzielnie hostowane; kontrolujesz wszystkie klucze
WireGuard Easy Osobiste, preferowany interfejs webowy Niskie Tak samo jak WireGuard Tylko UDP 512 MB RAM Samodzielnie hostowane
OpenVPN AS Sieci z zablokowanym UDP Średnie ~110 Mbps tunelowane TCP 443 wygląda jak HTTPS 1 GB RAM Samodzielnie hostowane; 2 darmowe połączenia
Pritunl Panel OpenVPN/WG dla małego zespołu Średnie Porównywalne z protokołem bazowym UDP lub TCP 2 GB RAM Samodzielnie hostowane; brak opłat za użytkownika
Tailscale Większość zespołów Bardzo niskie Bezpośrednie P2P bliskie pełnej przepustowości; DERP ograniczone do 5 Mbps Automatyczne przechodzenie przez NAT Nie wymaga (hostowana warstwa sterująca) Hostowana warstwa sterująca
Headscale Zespoły potrzebujące samodzielnie hostowanej warstwy sterującej Średnie Tak samo jak Tailscale Automatyczne przechodzenie przez NAT 1 GB RAM W pełni samodzielnie hostowane
Netmaker Mesh zespołowy, bez ograniczenia DERP Średnie Przepustowość klasy WireGuard Przechodzenie przez NAT za pomocą samodzielnie hostowanych przekaźników 1 GB RAM W pełni samodzielnie hostowane
Hiddify Manager Antycenzuralne, restrykcyjne regiony Średnia (interfejs webowy) Zależne od protokołu Omijanie DPI za pomocą REALITY, Hysteria2 itp. 1 GB RAM Samodzielnie hostowane

Najpierw wybierz scenariusz użycia

Decyzja stoi przed wyborem narzędzia.

  • Wdróż WireGuard gdy Twoim scenariuszem jest prywatność osobista w roli własnego węzła wyjściowego.
  • Użyj Tailscale jeśli Twoim scenariuszem jest łączenie maszyn zespołu, chyba że posiadanie warstwy sterującej jest częścią Twojego modelu zagrożeń, w którym to przypadku wybierz Headscale lub Netmaker.

Te narzędzia nie są wymienne; tryb awarii wynikający z użycia jednego do innego scenariusza jest realny.

Niezależnie od tego, która ścieżka ma zastosowanie, trudna część wdrożenia i utrzymania nadal pozostaje. Marketplace Cloudzy oferuje wdrożenia za jednym kliknięciem dla każdego z omówionych powyżej narzędzi. Trudną częścią jest dopasowanie narzędzia do modelu zagrożeń. Ta część stoi przed jakimkolwiek przyciskiem wdrażania.

Często zadawane pytania

Czy do mojego self-hosted VPN powinienem użyć WireGuard czy OpenVPN?

WireGuard niemal w każdym przypadku. Jest szybszy, ma niższe opóźnienia, jest dostarczany w jądrze Linux i jest znacznie prostszy w konfiguracji. Używaj OpenVPN tylko wtedy, gdy musisz przejść przez zapory blokujące UDP (skonfigurowany na port TCP 443) lub gdy potrzebujesz szerokiego wsparcia dla starszych klientów, na które WireGuard jeszcze nie celuje.

Czy Tailscale jest naprawdę samodzielnie hostowany?

Nie. Warstwa danych Tailscale jest peer-to-peer, ale warstwa sterująca (dystrybucja kluczy, koordynacja tożsamości) jest hostowana przez Tailscale. Dla wielu zespołów hostowana warstwa sterująca Tailscale jest akceptowalna; pytanie brzmi, czy Twój model zagrożeń traktuje ją jako zależność, którą możesz zaakceptować.

Jaki jest minimalny rozmiar VPS do uruchomienia self-hosted VPN?

512 MB of RAM and one virtual CPU is enough for personal WireGuard or OpenVPN. For team mesh controllers like Headscale or Netmaker, 1 GB of RAM is comfortable. For anti-censorship multi-user setups like Hiddify, 1 to 2 GB of RAM handles a small group of users. None of these workloads need a CPU-optimised plan.

Czy mogę uruchomić WireGuard, jeśli mój domowy dostawca internetu używa CGNAT?

Nie jako serwer, do którego inicjujesz połączenia z zewnątrz. Carrier-Grade NAT całkowicie uniemożliwia połączenia przychodzące do Twojego domowego adresu IP. Dwie drogi obejścia tego: wynajmij mały VPS jako publicznie osiągalny przekaźnik, a urządzenie domowe niech łączy się z nim wychodząco; albo użyj Tailscale lub Headscale, które automatycznie obsługują przechodzenie przez NAT dzięki hole-punchingowi. Oba działają; podejście z VPS daje Ci stały adres IP, podejście z Tailscale daje Ci sieć mesh.

Share

Więcej z bloga

Czytaj dalej.

Gotowy do wdrożenia? Od $2,48/mies.

Niezależna chmura od 2008 roku. AMD EPYC, NVMe, 40 Gbps. Zwrot pieniędzy w ciągu 14 dni.