"Self-hosted VPN" หมายถึงสามสิ่งที่แตกต่างกันสำหรับผู้ชมสามกลุ่มที่ต่างกัน และบทความแบบลิสต์ส่วนใหญ่ล้มเหลวเพราะปฏิบัติต่อทั้งสามกลุ่มราวกับเป็นกลุ่มเดียว ผู้ใช้ที่ใส่ใจเรื่องความเป็นส่วนตัวและต้องการแทนที่บริการ VPN เชิงพาณิชย์ด้วย exit node ของตัวเอง ไม่ได้กำลังแก้ปัญหาเดียวกันกับทีมวิศวกรรมสี่คนที่เชื่อม home lab เข้ากับ AWS เครื่องมือเหล่านี้มีส่วนที่ทับซ้อนกัน แต่เครื่องมือที่เหมาะกับงานหนึ่งแทบจะไม่ใช่เครื่องมือที่เหมาะกับอีกงานหนึ่ง
คู่มือนี้ถูกจัดโครงสร้างตามการแบ่งกลุ่มดังกล่าว สามกรณีใช้งาน สามคำแนะนำหลัก และข้อแลกเปลี่ยนตามความเป็นจริงที่มาพร้อมกับแต่ละกรณี ที่นี่ไม่มีขั้นตอนการติดตั้งทีละขั้น เมื่อระบุเครื่องมือที่เหมาะกับงานของคุณได้แล้ว ลิงก์ไปยังคู่มือการติดตั้งฉบับเต็มจะตามมา
เวอร์ชันสั้น
- สำหรับความเป็นส่วนตัวส่วนบุคคลในฐานะ exit node ของคุณเอง ให้ deploy WireGuard บน VPS ขนาดเล็กในเขตอำนาจศาลที่ไม่ใช่ Five Eyes WireGuard Easy เพิ่ม web UI ให้หากคุณต้องการ ใช้ OpenVPN เฉพาะเมื่อเครือข่ายของคุณบล็อก UDP เท่านั้น
- สำหรับ team mesh ที่เชื่อมต่อแล็ปท็อป home lab และ cloud VPC นั้น Tailscale คือคำตอบที่ใช้งานได้จริงสำหรับทีมส่วนใหญ่ รัน Headscale หรือ Netmaker เฉพาะเมื่อการเป็นเจ้าของ control plane เป็นส่วนหนึ่งของ threat model ของคุณ
- สำหรับผู้ใช้ในสภาพแวดล้อมอินเทอร์เน็ตที่มีข้อจำกัด Hiddify Manager คือคำตอบที่ดีที่สุดในปัจจุบัน WireGuard และ OpenVPN ไม่สามารถรอดพ้นจาก deep packet inspection ได้ด้วยตัวเอง
- VPS ขนาด 1 vCPU, 512 MB รองรับเซิร์ฟเวอร์ WireGuard ส่วนบุคคลได้อย่างเหลือเฟือ คอขวดอยู่ที่แบนด์วิดท์ ไม่ใช่พลังประมวลผล
เมื่อใดที่การ Self-Host VPN สมเหตุสมผลอย่างแท้จริง
VPN เชิงพาณิชย์ให้ exit IP ที่ใช้ร่วมกันหลายพันรายการและไม่ต้องบำรุงรักษาเลย ส่วน VPN ที่ self-hosted ให้คุณเพียง IP เดียว สถานที่เดียว และความรับผิดชอบเต็มรูปแบบต่อเครื่อง ทั้งสองอย่างนี้เป็นผลิตภัณฑ์ที่ต่างกัน แม้ว่ามักจะถูกทำการตลาดอย่างไรก็ตาม
การ self-host เป็นทางเลือกที่ถูกต้องเมื่อข้อใดข้อหนึ่งต่อไปนี้เป็นจริง:
- คุณต้องการลดจำนวนฝ่ายที่สามารถมองเห็นทราฟฟิกที่ไม่ได้เข้ารหัสของคุณให้น้อยที่สุด ด้วย VPN เชิงพาณิชย์ ผู้ให้บริการมองเห็นได้ ด้วย VPN ที่ self-hosted มีเพียงคุณเท่านั้นที่มองเห็นได้
- คุณต้องการเขตอำนาจศาลที่เฉพาะเจาะจง แฟรงก์เฟิร์ตสำหรับการอยู่ภายใต้ GDPR ซิดนีย์เพื่อทดสอบบริการของออสเตรเลียที่ถูกจำกัดตามภูมิภาค สวิตเซอร์แลนด์สำหรับกฎหมายคุ้มครองข้อมูลที่เข้มงวดกว่า (เมื่อมีสต็อกพร้อม) ผู้ให้บริการเชิงพาณิชย์ทำให้เรื่องนี้คลุมเครือ แต่การ self-host ทำให้ชัดเจน
- คุณกำลังเชื่อมต่อโครงสร้างพื้นฐานของทีม ไม่ใช่แค่การกำหนดเส้นทางการท่องเว็บส่วนตัว
- คุณอยู่ในสภาพแวดล้อมที่มีการเซ็นเซอร์ซึ่ง VPN เชิงพาณิชย์เองก็ถูกบล็อก
การ self-host เป็นทางเลือกที่ผิดเมื่อคุณต้องการความหลากหลายของ IP สูงสุดสำหรับการสตรีม เมื่อคุณไม่ต้องการดูแลเซิร์ฟเวอร์ Linux หรือเมื่อ threat model ของคุณเป็นเพียง "หยุด ISP ไม่ให้ขายข้อมูลการท่องเว็บของฉัน" เท่านั้น สำหรับกรณีที่สาม DNS ที่เข้ารหัสบวกกับเบราว์เซอร์ที่คุณมีอยู่แล้วทำหน้าที่ได้เกือบทั้งหมด
มีข้อจำกัดหนึ่งที่ควรกล่าวถึงตั้งแต่เนิ่น ๆ เพราะมันปรากฏขึ้นในการอภิปรายตามความเป็นจริงเกี่ยวกับ VPN ที่ self-hosted หลายครั้ง WireGuard นั้น โดยการออกแบบ เก็บรักษาที่อยู่ IP ที่พบล่าสุด ของทุก peer ไว้ใน kernel state ผู้ให้บริการ VPN เชิงพาณิชย์สามารถอ้างว่า "ไม่มีบันทึก" ได้ แต่คุณไม่มีวิธีตรวจสอบ ส่วนผู้ที่ self-host สามารถตรวจสอบได้ และการตรวจสอบนั้นจะบอกคุณว่าจริง ๆ แล้ว kernel รู้ IP ที่โทรศัพท์ของคุณเชื่อมต่อมาเมื่อเช้านี้ การบรรเทาปัญหานี้ไม่ใช่การเพิกเฉยต่อมัน แต่คือการหมุนเวียนคีย์ ลบ kernel state ตามกำหนดเวลา และยอมรับข้อแลกเปลี่ยนนี้
กรณีใช้งานที่ 1: Exit Node เพื่อความเป็นส่วนตัวส่วนบุคคล
ข้อสรุปอย่างรวดเร็ว: WireGuard บน VPS ขนาดเล็กในเขตอำนาจศาลที่ไม่ใช่ Five Eyes ใช้ WireGuard Easy หากคุณต้องการ web UI โดยไม่ต้องใช้คอมมานด์ไลน์ ใช้ OpenVPN เฉพาะเมื่อ UDP ถูกบล็อกบนเครือข่ายที่คุณกำลังเชื่อมต่อมาเท่านั้น
WireGuard: ตัวเลือกเริ่มต้น
WireGuard คือคำตอบที่ถูกต้องสำหรับกรณีใช้งาน exit node เพื่อความเป็นส่วนตัว
โปรโตคอลนี้ใช้เฟรมเวิร์ก Noise สำหรับการแลกเปลี่ยนคีย์ และทำ handshake ให้เสร็จในการรับส่งเพียงรอบเดียว ส่วน OpenVPN ใช้ TLS ซึ่งต้องการการรับส่งหลายรอบและเปิดเผยข้อมูลเมตาดาต้ามากกว่าในกระบวนการนี้ ค่า latency overhead สำหรับ WireGuard โดยทั่วไปอยู่ที่ 1 ถึง 3 มิลลิวินาที เพิ่มจากการเชื่อมต่อพื้นฐานของคุณ ส่วน OpenVPN เพิ่ม 20 ถึง 30 เปอร์เซ็นต์ ของ latency overhead ในสภาวะที่เทียบเคียงกันได้
ตัวเลข throughput จากการทดสอบเปรียบเทียบที่ผ่านการตรวจสอบโดยผู้เชี่ยวชาญในปี 2025 ใน ของ MDPI Computers วารสาร: ประมาณ 210 Mbps ผ่าน WireGuard เทียบกับ 110 Mbps ผ่าน OpenVPN ภายใต้สภาวะ VM ที่ทันเนลผ่าน TCP เหมือนกัน บนฮาร์ดแวร์ bare-metal ที่เปิดใช้งานเคอร์เนลโมดูล WireGuard แบบ raw สามารถส่งได้ประมาณ 8 Gbps บนฮาร์ดแวร์ระดับกิกะบิต ขีดจำกัดในกรณีนั้นอยู่ที่การ์ดเครือข่าย ไม่ใช่ตัวโปรโตคอล
โค้ดเบสมีประมาณ 4,000 บรรทัด ส่วนของ OpenVPN ใหญ่กว่าหลายเท่า โค้ดเบสขนาดเล็กไม่ใช่ความปลอดภัยในตัวมันเอง แต่ทำให้การตรวจสอบเป็นไปได้จริง WireGuard ได้รับการตรวจสอบแล้ว มันถูกรวมเข้าใน mainline Linux kernel ใน 5.6 และเป็นค่าเริ่มต้นในดิสทริบิวชันส่วนใหญ่
การกำหนดค่าเป็นไฟล์ข้อความ 12 บรรทัด ไม่มีเหตุผลที่มันจะต้องซับซ้อนไปกว่านี้ ขั้นตอนการติดตั้งฉบับเต็มมีบันทึกไว้ บนบล็อกของเราซึ่งครอบคลุมการติดตั้งแพ็กเกจ การสร้างคีย์ การกำหนดค่า peer และกฎไฟร์วอลล์
VPS ราคาถูกและเรียบง่ายรองรับเซิร์ฟเวอร์ WireGuard ส่วนบุคคลได้โดยมีแบนด์วิดท์เหลือเฟือ คอขวดจะอยู่ที่การเชื่อมต่ออินเทอร์เน็ตที่บ้านของคุณ ไม่ใช่ที่เซิร์ฟเวอร์ สำหรับผู้อ่านส่วนใหญ่ VPS ราคาถูกเพียงพอเกินพอที่จะรันการตั้งค่า WireGuard ของพวกเขา
เคล็ดลับมือโปร: WireGuard บันทึกที่อยู่ IP ที่พบล่าสุดของแต่ละ peer ใน kernel state เพื่อความเป็นส่วนตัวแบบไม่มีบันทึกอย่างแท้จริง ให้ยอมรับเรื่องนี้และหมุนเวียนคีย์ หรือลบ kernel state ตามกำหนดเวลา อย่าแสร้งทำเป็นว่าข้อจำกัดนี้ไม่มีอยู่ บันทึกทางเทคนิคเรื่องความเป็นส่วนตัวของ WireGuard จาก Proton VPN ยอมรับเรื่องนี้ในการ deploy ของพวกเขาเอง
WireGuard พร้อม Web UI
หากการจัดการ peer จากคอมมานด์ไลน์ไม่น่าสนใจ มีตัวห่อหุ้มสองตัวที่ควรรู้จัก
WireGuard Easy เป็น Docker container ที่เปิดให้ใช้แผงควบคุมผู้ดูแลระบบผ่านเว็บ มันสร้างการกำหนดค่า peer พิมพ์ QR code สำหรับไคลเอนต์มือถือ และจัดเก็บทุกอย่างไว้ใน config volume เดียว การติดตั้งรวดเร็ว เหมาะสำหรับการใช้งานส่วนบุคคลและครัวเรือนขนาดเล็ก
WGDashboard เป็นทางเลือกที่หนักกว่า รองรับ peer มากกว่า มีฟีเจอร์การจัดการมากกว่า และใช้เวลาติดตั้งมากกว่า คุ้มค่าหากคุณกำลังจัดการ peer 20 ตัวขึ้นไป มิฉะนั้น WireGuard Easy ก็เพียงพอแล้ว
เมื่อใดที่ OpenVPN ยังคงมีที่ทาง
OpenVPN ยังไม่ล้าสมัย มันยังคงอยู่ได้ในสองสถานการณ์ที่เฉพาะเจาะจง
อย่างแรกคือเครือข่ายที่มีข้อจำกัดซึ่งบล็อก UDP โดยการออกแบบแล้ว WireGuard ทำงานผ่าน UDP เท่านั้น เครือข่ายองค์กร WiFi ของโรงแรม และผู้ให้บริการมือถือบางรายบล็อกทราฟฟิก UDP ทั้งหมดยกเว้น DNS OpenVPN สามารถทำงานผ่าน TCP บน port 443 ได้ ซึ่งช่วยให้มันผ่านไฟร์วอลล์ที่มีข้อจำกัดหลายแห่งได้ หากคุณเชื่อมต่อจากเครือข่ายที่ขัดขวางคุณเรื่อง UDP อยู่เป็นประจำ OpenVPN คือตัวเลือกสำรอง
อย่างที่สองคือการรองรับไคลเอนต์รุ่นเก่าในวงกว้าง ไคลเอนต์ของ OpenVPN มีอยู่สำหรับระบบปฏิบัติการทุกตัวที่ใช้งานมาในช่วงสิบห้าปีที่ผ่านมา รวมถึงแพลตฟอร์มที่ WireGuard ไม่ได้มุ่งเป้าไปถึง หากกลุ่มผู้อ่านของคุณรวมถึงโทรศัพท์รุ่นเก่าหรืออุปกรณ์ต่าง ๆ ความเข้ากันได้ของ OpenVPN จะกว้างกว่า
OpenVPN Access Server เพิ่ม web admin UI ลงบนตัวโปรโตคอลและใช้งานได้ฟรีสำหรับการเชื่อมต่อพร้อมกันสองรายการ หากเกินสองการเชื่อมต่อ การคิดลิขสิทธิ์จะเป็นแบบต่อผู้ใช้ Pritunl เป็นตัวเลือกที่สามที่เพิ่มแดชบอร์ดผู้ดูแลระบบที่เทียบเคียงได้สำหรับทั้ง OpenVPN และ WireGuard โดยไม่มีการคิดลิขสิทธิ์ต่อผู้ใช้ สำหรับการใช้งานส่วนบุคคล ระดับฟรีของ OpenVPN AS ก็เพียงพอ สำหรับทีมขนาดเล็กที่ปฏิเสธ Tailscale แล้ว Pritunl เป็นตัวเลือกที่สะอาดกว่า ขั้นตอนการติดตั้งฉบับเต็มสำหรับ OpenVPN แบบ raw มีอยู่ในบทความของเราเรื่อง การติดตั้ง OpenVPN บน VPS.
การเลือกสถานที่
ที่สเกลนี้ เขตอำนาจศาลมีความสำคัญมากกว่า throughput หากส่วนหนึ่งของเหตุผลในการ self-host คือการลดการอยู่ภายใต้ข้อตกลงแบ่งปันข่าวกรอง การจัดกลุ่มที่เกี่ยวข้องคือพันธมิตร Five Eyes (สหรัฐอเมริกา สหราชอาณาจักร แคนาดา ออสเตรเลีย นิวซีแลนด์) และพันธมิตรขยายของกลุ่ม แฟรงก์เฟิร์ตและอัมสเตอร์ดัมเป็นตัวเลือกที่ไม่ใช่ Five Eyes ที่พบได้ทั่วไปในยุโรป ดูไบน่าสนใจหากทราฟฟิกของคุณอยู่ในภูมิภาคตะวันออกกลาง สวิตเซอร์แลนด์และสิงคโปร์มีกรอบการคุ้มครองข้อมูลที่เข้มงวดกว่า แต่มักหมดสต็อกที่ผู้ให้บริการรายเล็ก
หาก WireGuard ตรงกับความต้องการของคุณ VPS WireGuard แบบคลิกเดียว ของเราช่วยให้คุณข้ามขั้นตอนการติดตั้งและติดตั้งเสร็จภายในไม่กี่นาที
กรณีใช้งานที่ 2: การทำ Mesh Networking สำหรับทีม
ข้อสรุปอย่างรวดเร็ว: Tailscale สำหรับทีมส่วนใหญ่ ใช้ Headscale หรือ Netmaker หากคุณต้องการเป็นเจ้าของ control plane ใช้ WireGuard mesh แบบ raw เฉพาะเมื่อคุณมีโหนดน้อยกว่า 10 โหนดและมีความอดทนเท่านั้น
วิศวกรทำงานทางไกลสามคน home lab หนึ่งแห่ง staging server ใน AWS และ database VM ในแร็คแบบ colocated เครื่องทั้งห้าต้องสื่อสารกันได้โดยไม่ต้องเปิด public port ไม่มีเครื่องใดเลยที่มี public IP ที่เสถียร สองในนั้นอยู่หลัง Carrier-Grade NAT
นี่เป็นปัญหาที่ WireGuard mesh ไม่ได้ถูกออกแบบมาให้แก้ไขได้อย่างราบรื่นในสเกลใหญ่
ทำไม WireGuard Mesh แบบ Raw จึงเป็นปัญหาเมื่อขยายสเกล
Mesh กำหนดให้ทุก peer ต้องรู้จัก peer อื่น ๆ ทุกตัว รูปแบบ config ของ WireGuard สะท้อนเรื่องนี้โดยตรง: แต่ละ peer มีส่วน [Peer] สำหรับทุกโหนดที่มันสื่อสารด้วย ห้าโหนดหมายความว่าแต่ละไฟล์ config มีบล็อก [Peer] สี่บล็อก และจำนวนการกำหนดค่าทั้งหมดที่ต้องดูแลทั่วทั้ง mesh คือ N คูณ (N ลบ 1) หารด้วย 2
ที่ห้าโหนด นั่นคือคู่การเชื่อมต่อ 10 คู่ ที่ 10 โหนด เป็น 45 ที่ 20 โหนด เป็น 190 การเติบโตเป็นแบบกำลังสอง การเพิ่มโหนดเพียงโหนดเดียวให้กับ mesh ขนาด 20 โหนดต้องอัปเดตไฟล์ config 20 ไฟล์และรีสตาร์ท daemon 20 ตัว การลบคีย์ก็ต้องทำเช่นเดียวกัน
เครื่องมืออย่าง wg-meshconf และ Netmaker มีอยู่เพื่อทำสิ่งนี้แบบอัตโนมัติ
Tailscale: คำแนะนำตามความเป็นจริงสำหรับทีมส่วนใหญ่
Tailscale ดีพอจริง ๆ สำหรับทีมส่วนใหญ่ control plane โฮสต์โดย Tailscale ส่วน data plane เป็นแบบ peer-to-peer โดยตรง และระดับฟรีครอบคลุม 100 อุปกรณ์ การติดตั้งใช้เวลาต่ำกว่าห้านาที NAT traversal ทำงานได้ในสภาพแวดล้อมเครือข่ายส่วนใหญ่โดยไม่ต้องกำหนดค่า ACL ถูกจัดการจากส่วนกลาง
ข้อควรระวังตามความเป็นจริง: control plane เป็นการพึ่งพาบุคคลที่สาม Tailscale แจกจ่ายคีย์ WireGuard ที่เชื่อมต่ออุปกรณ์ของคุณ หากเซิร์ฟเวอร์ประสานงานของ Tailscale ถูกเจาะ ผู้โจมตีก็สามารถแทรกตัวเองเข้าไปใน mesh ได้ในทางหลักการ Tailscale เผยแพร่เอกสาร threat-model อย่างละเอียดที่ยอมรับเรื่องนี้ และใช้ tailnet lock และ node-attestation เพื่อเสริมความแข็งแกร่งในการป้องกัน สำหรับทีมส่วนใหญ่ การพึ่งพานี้ยอมรับได้ สำหรับทีมที่ threat model รวมถึงผู้โจมตีระดับรัฐหรือข้อกำหนดด้านกฎระเบียบที่เข้มงวดเกี่ยวกับเมตาดาต้าการประสานงานนั้น มันยอมรับไม่ได้
data plane ของ Tailscale เลี่ยงเซิร์ฟเวอร์ของบริษัทเมื่อทำได้ เมื่อ peer-to-peer โดยตรงล้มเหลว ทราฟฟิกจะถอยกลับไปยังเซิร์ฟเวอร์ DERP relay ของ Tailscale ซึ่งถูกจำกัดความเร็วไว้ที่ประมาณ 5 Mbps หากสองโหนดของคุณลงเอยที่ DERP เสมอเพราะปัญหา NAT การจำกัดความเร็วของ relay ก็จะกลายเป็นคอขวด
เคล็ดลับมือโปร: หาก ISP ที่บ้านของคุณใช้ Carrier-Grade NAT คุณจะไม่สามารถรับการเชื่อมต่อขาเข้าที่บ้านได้ Tailscale และ Headscale จัดการเรื่องนี้ผ่าน hole-punching และการถอยกลับไปยัง DERP โดยอัตโนมัติ ส่วน WireGuard แบบ raw ต้องการ VPS ที่เข้าถึงได้แบบสาธารณะเพื่อทำหน้าที่เป็น relay โดยให้โหนดที่บ้านทำหน้าที่เป็นไคลเอนต์ที่ริเริ่มการเชื่อมต่อขาออก
Headscale: เมื่อคุณต้องการเป็นเจ้าของ Control Plane
Headscale เป็นการสร้างเซิร์ฟเวอร์ประสานงานของ Tailscale ขึ้นใหม่แบบโอเพนซอร์ส ไคลเอนต์อย่างเป็นทางการของ Tailscale เชื่อมต่อกับ Headscale แทนเซิร์ฟเวอร์ที่โฮสต์โดย Tailscale และประสบการณ์ที่ผู้ใช้พบเจอก็คล้ายกัน แต่มันมีข้อแลกเปลี่ยนที่สำคัญหนึ่งอย่าง: คุณต้องดำเนินการ control plane ด้วยตัวเอง ซึ่งหมายความว่า uptime การอัปเกรด และแพตช์ความปลอดภัยเป็นปัญหาของคุณ
Headscale ขาดความเนี้ยบบางส่วนของ Tailscale การกำหนดค่า ACL เป็น YAML และ CLI ไม่ใช่ web UI กรณีพิเศษของ MagicDNS ปรากฏขึ้นเป็นครั้งคราวซึ่งไคลเอนต์อย่างเป็นทางการจัดการอย่างเงียบ ๆ ในเวอร์ชันที่โฮสต์ โปรเจกต์นี้ได้รับการดูแลเป็นอย่างดี รันในสภาพแวดล้อมการใช้งานจริงที่องค์กรซึ่งต้องการมัน และเหมาะสมสำหรับทีมที่ threat model หรือสถานะการปฏิบัติตามข้อกำหนดต้องการการประสานงานแบบ self-hosted
การบำรุงรักษา Headscale เป็นงานที่ต้องทำต่อเนื่อง หากคุณต้องการถ่ายโอนภาระนั้นออกไป Linux VPS ที่มี SLA uptime 99.95% และการสนับสนุนตลอด 24/7 จะรองรับภาระงานของตัวควบคุมโดยไม่มีภาระการอยู่เวร ตัวควบคุมเองนั้นเบาเพราะมันจัดการเฉพาะการประสานงาน ส่วนทราฟฟิก mesh จริง ๆ เป็นแบบ peer-to-peer
Netmaker
Netmaker เป็นเลเยอร์การประสานงานทางเลือกที่ทำงานอยู่บน WireGuard แทนที่จะสร้าง Tailscale ขึ้นใหม่ ความแตกต่างทางสถาปัตยกรรมนี้มีความหมาย: เมื่อ peer-to-peer โดยตรงล้มเหลว Netmaker สามารถกำหนดเส้นทางผ่านโหนด relay ที่ self-hosted ได้โดยไม่มีการจำกัดความเร็ว 5 Mbps ที่ DERP ของ Tailscale บังคับใช้ สำหรับ team mesh ที่ต้องการ throughput ที่สม่ำเสมอเมื่อ NAT ล้มเหลว เรื่องนี้สำคัญ
ประสบการณ์นักพัฒนาของ Netmaker ขรุขระกว่าของ Tailscale รุ่น community รันบน VPS เครื่องเดียวและรองรับกรณีใช้งานที่ทีมขนาดเล็กส่วนใหญ่มี รุ่นเชิงพาณิชย์ของ Netmaker เพิ่มฟีเจอร์สำหรับองค์กร แต่ไม่ใช่ส่วนหนึ่งของการอภิปรายนี้
VPS Netmaker แบบคลิกเดียว ของเรามาพร้อมกับการติดตั้งที่รวดเร็วบนโครงสร้างพื้นฐานที่รวดเร็ว
กรณีใช้งานที่ 3: การหลีกเลี่ยงการเซ็นเซอร์
ข้อสรุปอย่างรวดเร็ว: Hiddify Manager สำหรับสภาพแวดล้อมที่มีการเซ็นเซอร์อย่างเข้มข้น Outline สำหรับภูมิภาคที่เรียบง่ายกว่า WireGuard และ OpenVPN ไม่สามารถรอดพ้นจาก deep packet inspection ได้ อย่า deploy พวกมันเป็นเครื่องมือต่อต้านการเซ็นเซอร์
ทราฟฟิกของ WireGuard สามารถระบุตัวตนได้จากโครงสร้างแพ็กเก็ต UDP ของมัน จึงสามารถถูกบล็อกได้ ปัญหาไม่ได้อยู่ที่การเข้ารหัสของ WireGuard อ่อนแอ การเข้ารหัสนั้นดีอยู่แล้ว ปัญหาคือแพ็กเก็ตที่เข้ารหัสดูเหมือน VPN และการเซ็นเซอร์สมัยใหม่ตรวจสอบรูปร่างแพ็กเก็ต จังหวะเวลา และลายนิ้วมือของโปรโตคอล ไม่ใช่แค่เนื้อหา payload เท่านั้น
VPN ที่ self-hosted ในฐานะเครื่องมือต่อต้านการเซ็นเซอร์เพียงอย่างเดียวของคุณจะล้มเหลวในสภาพแวดล้อมใด ๆ ที่มี deep packet inspection ทำงานอยู่ แนวทางที่ถูกต้องคือเครื่องมือประเภทอื่น: ทราฟฟิกที่เลียนแบบการท่องเว็บทั่วไปได้ดีพอจนผู้เซ็นเซอร์ไม่สามารถแยกแยะมันออกจากทราฟฟิก HTTPS จริงที่ส่งไปยังเว็บไซต์จริงได้
หมวดหมู่นี้ล้าสมัยเร็วกว่าส่วนอื่น ๆ ของคู่มือนี้ ผู้เซ็นเซอร์ปรับตัว โปรโตคอลถูกบล็อก วิธีการอำพรางใหม่ ๆ อย่าง REALITY และ Hysteria2 ปรากฏขึ้นภายในสองปีที่ผ่านมา และอีกสองปีข้างหน้าจะนำมาซึ่งสิ่งใหม่ ๆ มากขึ้น ตรรกะในการเลือก ซึ่งก็คือการจับคู่ระดับการอำพรางให้เข้ากับสภาพแวดล้อมการเซ็นเซอร์นั้น มีความทนทาน เครื่องมือเฉพาะที่ใช้งานได้ในประเทศของคุณวันนี้อาจใช้งานไม่ได้ในอีกหกเดือน GitHub repository และ issue tracker ของ Hiddify เป็นที่ที่ควรตรวจสอบสถานะปัจจุบันก่อน deploy
Hiddify Manager: คำตอบที่ดีที่สุดในปัจจุบัน
Hiddify Manager เป็น meta-tool มันไม่ใช่โปรโตคอล VPN เดี่ยว ๆ ในตัวมันเอง แต่เป็นเลเยอร์ผู้ดูแลระบบที่ deploy จัดการ และหมุนเวียนโปรโตคอลต่อต้านการเซ็นเซอร์พื้นฐานมากกว่า 20 ตัวบน VPS เครื่องเดียว การปล่อย Hiddify v12 ในเดือนกุมภาพันธ์ 2026 รองรับ:
- Reality (XTLS บน VLESS)
- Hysteria2
- Shadowsocks-2022 พร้อมตัวแปร TLS
- V2Ray และ Xray พร้อม transport แบบ WS, gRPC และ H2
- WireGuard สำหรับการถอยกลับ
แผงควบคุมผู้ดูแลระบบผ่านเว็บจัดการการจัดการผู้ใช้ ขีดจำกัดทราฟฟิก และการกำหนดเส้นทางโปรโตคอลแบบต่อผู้ใช้
ฟีเจอร์การหมุนเวียนโปรโตคอลเป็นส่วนที่สำคัญในทางปฏิบัติ: เมื่อโปรโตคอลหนึ่งเริ่มล้มเหลวในประเทศหนึ่ง ผู้ดูแลระบบสามารถสลับผู้ใช้ไปยังอีกโปรโตคอลหนึ่งได้โดยไม่ต้อง deploy เซิร์ฟเวอร์ใหม่ นี่คือความแตกต่างในการดำเนินงานระหว่าง Hiddify กับสแตกที่มีโปรโตคอลเดียว
ข้อสังเกตเกี่ยวกับโปรโตคอลสองข้อที่ควรเข้าใจก่อน deploy Reality เป็นเทคโนโลยีล่าสุดในปัจจุบันสำหรับการหลบเลี่ยงการตรวจลายนิ้วมือ TLS มันเลียนแบบการเชื่อมต่อ HTTPS จริงไปยังเว็บไซต์สาธารณะจริง (ซึ่งผู้ดำเนินการเลือก โดยทั่วไปเป็นเว็บไซต์ที่มีทราฟฟิกสูงอย่าง cloudflare.com) และผู้เซ็นเซอร์ที่ตรวจสอบ handshake จะเห็นสิ่งที่ดูเหมือนการเชื่อมต่อทั่วไปไปยังเว็บไซต์นั้น Hysteria2 เป็นโปรโตคอลที่อิงกับ UDP พร้อมการอำพรางในตัวซึ่งทำงานได้ดีบนเครือข่ายที่มีการสูญเสียข้อมูล มันเร็วกว่าทางเลือกที่อิงกับ TCP เมื่อเครือข่ายไม่เสถียร ซึ่งอธิบายการเชื่อมต่อของผู้บริโภคส่วนใหญ่ในสภาพแวดล้อมที่มีข้อจำกัด
มาร์เก็ตเพลสของ Cloudzy ยังมี Hiddify image แบบคลิกเดียวบนโครงสร้างพื้นฐาน Linux VPS เดียวกัน ซึ่ง deploy ได้ภายในไม่กี่นาที
การเลือกสถานที่สำหรับกรณีใช้งานนี้แตกต่างจากกรณีใช้งานด้านความเป็นส่วนตัว หลีกเลี่ยงจุดออกในสหรัฐอเมริกาและจุดออกหลักในยุโรปเมื่อให้บริการผู้ใช้ในภูมิภาคที่มีการตรวจจับเข้มข้น ตัวเลือกที่ดีได้แก่ ดูไบ แฟรงก์เฟิร์ต อัมสเตอร์ดัม และสิงคโปร์ ซึ่งให้ความครอบคลุมทางภูมิศาสตร์ในวงกว้าง
V2Ray, Xray, Shadowsocks: เลเยอร์ที่อยู่ข้างใต้
V2Ray และ Xray ซึ่งเป็น fork ของมัน คือตระกูลโปรโตคอลที่ Hiddify ห่อหุ้มเอาไว้ หาก Hiddify เป็นการ abstract ที่มากเกินไปและคุณต้องการ deploy โปรโตคอลเดียวด้วยการกำหนดค่าด้วยตนเอง การใช้ V2Ray หรือ Xray โดยตรงคือเส้นทางนั้น ข้อแลกเปลี่ยนอยู่ที่การดำเนินงาน: คุณต้องจัดการ daemon ใบรับรอง TLS การตั้งค่าการอำพราง และโหมดความล้มเหลวด้วยตัวเองทั้งหมด ผู้อ่านส่วนใหญ่จะได้รับประโยชน์มากกว่าจาก Hiddify
Shadowsocks เก่ากว่า โปรโตคอลดั้งเดิมยังคงใช้งานได้ในหลายสภาพแวดล้อม แต่ถูกตรวจจับมากขึ้นเรื่อย ๆ โดย DPI สมัยใหม่ Shadowsocks-2022 เพิ่มการอัปเกรด stream-cipher ที่ปิดการตรวจจับบางประเภท แต่ไม่ได้จัดการกับการโจมตีแบบตรวจลายนิ้วมือโปรโตคอลเพียงอย่างเดียว มันสมเหตุสมผลในฐานะตัวเลือกหนึ่งภายในการ deploy ของ Hiddify แต่สมเหตุสมผลน้อยกว่าในฐานะเครื่องมือเดี่ยวในปี 2026
Outline: ภูมิภาคที่เรียบง่ายกว่า
Outline เป็นตัวห่อหุ้ม Shadowsocks ของ Jigsaw พร้อม admin UI ที่ใช้งานง่าย มันเปลี่ยนผ่านไปสู่ Outline Foundation ในปี 2026 ในฐานะโปรเจกต์อิสระ Outline เป็นตัวเลือกที่สมเหตุสมผลสำหรับผู้ใช้ในสภาพแวดล้อมที่การเซ็นเซอร์รุนแรงน้อยกว่า ที่การอำพรางระดับ Shadowsocks อย่างง่ายยังคงใช้งานได้ และที่ผู้ deploy ไม่มีความรู้ทางเทคนิคและต้องการประสบการณ์แบบสำเร็จรูป Hiddify ครอบคลุมได้กว้างกว่าในสภาพแวดล้อมส่วนใหญ่
การเปรียบเทียบแบบเคียงข้างกัน
| เครื่องมือ | เหมาะที่สุดสำหรับ | การติดตั้ง | Throughput | การผ่านไฟร์วอลล์ | ความต้องการ VPS ขั้นต่ำ | Trust Model |
|---|---|---|---|---|---|---|
| WireGuard | Exit node ส่วนบุคคล | ต่ำ | ~210 Mbps แบบทันเนล, ~8 Gbps เคอร์เนล bare-metal | UDP เท่านั้น ถูกบล็อกโดยบางเครือข่าย | 12 MB RAM | Self-hosted คุณควบคุมคีย์ทั้งหมด |
| WireGuard Easy | ส่วนบุคคล ต้องการ web UI | ต่ำ | เหมือนกับ WireGuard | UDP เท่านั้น | 512 MB RAM | Self-hosted |
| OpenVPN AS | เครือข่ายที่บล็อก UDP | ปานกลาง | ~110 Mbps แบบทันเนล | TCP 443 ดูเหมือน HTTPS | 1 GB RAM | Self-hosted การเชื่อมต่อฟรี 2 รายการ |
| Pritunl | แดชบอร์ด OpenVPN/WG สำหรับทีมขนาดเล็ก | ปานกลาง | เทียบเคียงได้กับโปรโตคอลพื้นฐาน | UDP หรือ TCP | 2 GB RAM | Self-hosted ไม่มีค่าธรรมเนียมต่อผู้ใช้ |
| Tailscale | ทีมส่วนใหญ่ | ต่ำมาก | P2P โดยตรงใกล้เคียง line-rate DERP ถูกจำกัดที่ 5 Mbps | NAT traversal อัตโนมัติ | ไม่ต้องการ (control plane แบบโฮสต์) | Control plane แบบโฮสต์ |
| Headscale | ทีมที่ต้องการ control plane แบบ self-hosted | ปานกลาง | เหมือนกับ Tailscale | NAT traversal อัตโนมัติ | 1 GB RAM | Self-hosted เต็มรูปแบบ |
| Netmaker | Team mesh ไม่มีการจำกัด DERP | ปานกลาง | Throughput ระดับ WireGuard | NAT traversal ผ่าน relay ที่ self-hosted | 1 GB RAM | Self-hosted เต็มรูปแบบ |
| Hiddify Manager | ต่อต้านการเซ็นเซอร์ ภูมิภาคที่มีข้อจำกัด | ปานกลาง (web UI) | ขึ้นอยู่กับโปรโตคอล | การหลบเลี่ยง DPI ผ่าน REALITY, Hysteria2 ฯลฯ | 1 GB RAM | Self-hosted |
เลือกกรณีใช้งานก่อน
การตัดสินใจอยู่เหนือต้นน้ำของเครื่องมือ
- Deploy WireGuard เมื่อกรณีใช้งานของคุณคือความเป็นส่วนตัวส่วนบุคคลในฐานะ exit node ของคุณเอง
- ใช้ Tailscale หากกรณีใช้งานของคุณคือการเชื่อมต่อเครื่องของทีม เว้นแต่การเป็นเจ้าของ control plane เป็นส่วนหนึ่งของ threat model ของคุณ ซึ่งในกรณีนั้นให้เลือก Headscale หรือ Netmaker
เครื่องมือเหล่านี้ใช้แทนกันไม่ได้ โหมดความล้มเหลวของการใช้เครื่องมือหนึ่งสำหรับอีกกรณีใช้งานหนึ่งนั้นมีอยู่จริง
ไม่ว่าเส้นทางใดจะใช้ได้ ส่วนที่ยากของการ deploy และการบำรุงรักษาก็ยังคงอยู่ มาร์เก็ตเพลสของ Cloudzy มีการ deploy แบบคลิกเดียวสำหรับเครื่องมือทุกตัวที่กล่าวถึงข้างต้น ส่วนที่ยากคือการจับคู่เครื่องมือให้เข้ากับ threat model ส่วนนั้นอยู่เหนือต้นน้ำของปุ่ม deploy ใด ๆ
คำถามที่พบบ่อย
ฉันควรใช้ WireGuard หรือ OpenVPN สำหรับ VPN ที่ Self-Hosted ของฉัน?
WireGuard สำหรับเกือบทุกกรณี มันเร็วกว่า มี latency ต่ำกว่า มาพร้อมกับ Linux kernel และกำหนดค่าได้ง่ายกว่ามาก ใช้ OpenVPN เฉพาะเมื่อคุณต้องการผ่านไฟร์วอลล์ที่บล็อก UDP (กำหนดค่าบน TCP port 443) หรือเมื่อคุณต้องการการรองรับไคลเอนต์รุ่นเก่าในวงกว้างที่ WireGuard ยังไม่ได้มุ่งเป้าไปถึง
Tailscale เป็น Self-Hosted จริงหรือ?
ไม่ใช่ data plane ของ Tailscale เป็นแบบ peer-to-peer แต่ control plane (การแจกจ่ายคีย์ การประสานงานตัวตน) โฮสต์โดย Tailscale สำหรับหลายทีม control plane แบบโฮสต์ของ Tailscale ยอมรับได้ คำถามคือ threat model ของคุณปฏิบัติต่อมันในฐานะการพึ่งพาที่คุณยอมรับได้หรือไม่
ขนาด VPS ขั้นต่ำสำหรับการรัน VPN ที่ Self-Hosted คือเท่าไหร่?
512 MB of RAM and one virtual CPU is enough for personal WireGuard or OpenVPN. For team mesh controllers like Headscale or Netmaker, 1 GB of RAM is comfortable. For anti-censorship multi-user setups like Hiddify, 1 to 2 GB of RAM handles a small group of users. None of these workloads need a CPU-optimised plan.
ฉันสามารถรัน WireGuard ได้ไหมหาก ISP ที่บ้านของฉันใช้ CGNAT?
ไม่ได้ในฐานะเซิร์ฟเวอร์ที่คุณริเริ่มการเชื่อมต่อไปหาจากภายนอก Carrier-Grade NAT ขัดขวางการเชื่อมต่อขาเข้าไปยัง IP ที่บ้านของคุณโดยสิ้นเชิง มีสองเส้นทางในการแก้ปัญหานี้: เช่า VPS ขนาดเล็กเป็น relay ที่เข้าถึงได้แบบสาธารณะ โดยให้อุปกรณ์ที่บ้านของคุณเชื่อมต่อขาออกไปหามัน หรือใช้ Tailscale หรือ Headscale ซึ่งจัดการ NAT traversal ผ่าน hole-punching โดยอัตโนมัติ ทั้งสองวิธีใช้งานได้ วิธี VPS ให้ IP ที่เสถียรแก่คุณ ส่วนวิธี Tailscale ให้ mesh แก่คุณ