"VPN tự lưu trữ" mang ba ý nghĩa khác nhau với ba nhóm đối tượng khác nhau, và phần lớn các bài liệt kê thất bại vì gộp chung chúng làm một. Một người dùng quan tâm đến quyền riêng tư và muốn thay thế dịch vụ VPN thương mại bằng exit node của riêng mình không giải quyết cùng một bài toán với một nhóm kỹ thuật bốn người kết nối home lab vào AWS. Các công cụ có phần chồng lấn, nhưng công cụ phù hợp cho việc này hiếm khi là công cụ phù hợp cho việc kia.
Hướng dẫn này được tổ chức theo sự phân chia đó. Ba trường hợp sử dụng, ba khuyến nghị chính, cùng những đánh đổi thẳng thắn đi kèm mỗi lựa chọn. Ở đây không có hướng dẫn cài đặt từng bước. Khi đã xác định được công cụ phù hợp cho công việc của bạn, các liên kết đến hướng dẫn cài đặt đầy đủ sẽ được cung cấp sau.
Phiên bản ngắn gọn
- Để bảo vệ quyền riêng tư cá nhân với exit node của riêng bạn, hãy triển khai WireGuard trên một VPS nhỏ tại một khu vực pháp lý không thuộc Five Eyes. WireGuard Easy bổ sung giao diện web nếu bạn muốn. Chỉ dùng OpenVPN khi mạng của bạn chặn UDP.
- Đối với một mạng mesh nhóm kết nối laptop, home lab và VPC trên đám mây, Tailscale là câu trả lời thực tế cho phần lớn các nhóm. Chỉ chạy Headscale hoặc Netmaker nếu việc tự sở hữu control plane là một phần trong mô hình rủi ro của bạn.
- Đối với người dùng trong môi trường internet bị hạn chế, Hiddify Manager hiện là câu trả lời tốt nhất. WireGuard và OpenVPN khi đứng một mình không thể vượt qua được kiểm tra gói tin sâu (DPI).
- Một VPS 1 vCPU, 512 MB xử lý một máy chủ WireGuard cá nhân một cách thoải mái. Điểm nghẽn nằm ở băng thông, không phải năng lực tính toán.
Khi Nào Tự Lưu Trữ VPN Thực Sự Hợp Lý
Một VPN thương mại cho bạn hàng nghìn IP exit dùng chung và không cần bảo trì. Một VPN tự lưu trữ cho bạn đúng một IP, một vị trí và toàn bộ trách nhiệm đối với máy chủ. Đây là những sản phẩm khác nhau, dù chúng thường được tiếp thị giống nhau.
Tự lưu trữ là lựa chọn đúng đắn khi một trong các điều sau là đúng:
- Bạn muốn giảm thiểu số bên có thể thấy lưu lượng chưa mã hóa của mình. Với VPN thương mại, nhà cung cấp có thể thấy. Với VPN tự lưu trữ, chỉ mình bạn có thể thấy.
- Bạn cần một khu vực pháp lý cụ thể. Frankfurt để phù hợp với GDPR. Sydney để kiểm thử các dịch vụ Úc bị giới hạn theo vùng địa lý. Thụy Sĩ để có luật bảo vệ dữ liệu mạnh hơn (khi còn hàng). Các nhà cung cấp thương mại che giấu điều này; tự lưu trữ làm cho nó rõ ràng.
- Bạn đang kết nối hạ tầng của nhóm, chứ không chỉ định tuyến cho việc duyệt web cá nhân.
- Bạn đang ở trong một môi trường kiểm duyệt nơi chính các VPN thương mại cũng bị chặn.
Tự lưu trữ là lựa chọn sai khi bạn muốn sự đa dạng IP tối đa để xem stream, khi bạn không muốn bảo trì một máy chủ Linux, hoặc khi mô hình rủi ro của bạn chỉ đơn thuần là "ngăn ISP bán dữ liệu duyệt web của tôi." Với trường hợp thứ ba, DNS mã hóa cùng với trình duyệt hiện có của bạn đã làm được phần lớn công việc.
Có một hạn chế đáng được nêu sớm vì nó xuất hiện trong nhiều cuộc thảo luận thẳng thắn về VPN tự lưu trữ. WireGuard, theo thiết kế, lưu giữ địa chỉ IP được nhìn thấy gần nhất của mọi peer trong trạng thái kernel. Một nhà cung cấp VPN thương mại có thể tuyên bố "không ghi log," nhưng bạn không có cách nào để kiểm chứng. Người tự lưu trữ có thể kiểm chứng được, và việc kiểm chứng sẽ cho bạn biết rằng kernel thực sự biết IP mà điện thoại của bạn đã kết nối từ sáng nay. Cách giảm thiểu không phải là phớt lờ điều này; mà là xoay vòng khóa, xóa trạng thái kernel theo lịch và chấp nhận sự đánh đổi.
Trường Hợp Sử Dụng 1: Exit Node Bảo Vệ Quyền Riêng Tư Cá Nhân
Kết Luận Nhanh: WireGuard trên một VPS nhỏ tại khu vực pháp lý không thuộc Five Eyes. WireGuard Easy nếu bạn muốn có giao diện web mà không phải dùng dòng lệnh. Chỉ dùng OpenVPN khi UDP bị chặn trên mạng mà bạn đang kết nối từ đó.
WireGuard: Lựa Chọn Mặc Định
WireGuard là câu trả lời đúng đắn cho trường hợp sử dụng exit node bảo vệ quyền riêng tư.
Giao thức này sử dụng framework Noise để trao đổi khóa và hoàn tất một handshake chỉ trong một vòng truyền đi-về duy nhất. OpenVPN dùng TLS, vốn đòi hỏi nhiều vòng truyền và để lộ nhiều metadata hơn trong quá trình đó. Độ trễ tăng thêm của WireGuard thường là 1 đến 3 mili giây cộng thêm vào kết nối nền của bạn. OpenVPN làm tăng thêm 20 đến 30 phần trăm độ trễ trong các điều kiện tương đương.
Các con số về thông lượng từ một benchmark được bình duyệt năm 2025 trên của MDPI, Computers tạp chí: khoảng 210 Mbps qua WireGuard so với 110 Mbps qua OpenVPN trong cùng điều kiện VM được tunnel qua TCP. Trên phần cứng bare-metal với module kernel được bật, WireGuard thuần đạt khoảng 8 Gbps trên phần cứng cấp gigabit; giới hạn ở đó là card mạng, không phải giao thức.
Mã nguồn của nó vào khoảng 4,000 dòng. Của OpenVPN lớn hơn nhiều lần. Một mã nguồn nhỏ tự thân nó không phải là bảo mật, nhưng nó giúp việc kiểm toán trở nên khả thi. WireGuard đã được kiểm toán; nó được đưa vào kernel Linux dòng chính ở phiên bản 5.6 và là mặc định trong hầu hết các bản phân phối.
Cấu hình là một tệp văn bản 12 dòng. Không có lý do gì để nó phức tạp hơn thế. Hướng dẫn cài đặt đầy đủ được ghi lại trên blog của chúng tôi, bao gồm cài đặt gói, tạo khóa, cấu hình peer và quy tắc tường lửa.
Một VPS rẻ và đơn giản xử lý một máy chủ WireGuard cá nhân với băng thông dư dả. Điểm nghẽn sẽ là kết nối internet tại nhà của bạn, không phải máy chủ. Với phần lớn độc giả, một VPS rẻ là quá đủ để chạy cấu hình WireGuard của họ.
Mẹo Chuyên Sâu: WireGuard ghi lại địa chỉ IP được nhìn thấy gần nhất của mỗi peer trong trạng thái kernel. Để có quyền riêng tư thực sự không ghi log, hãy chấp nhận điều này và xoay vòng khóa, hoặc xóa trạng thái kernel theo lịch. Đừng giả vờ rằng hạn chế này không tồn tại. Ghi chú kỹ thuật về quyền riêng tư WireGuard của Proton VPN thừa nhận điều này ngay trong triển khai của chính họ.
WireGuard Với Giao Diện Web
Nếu quản lý peer từ dòng lệnh không hấp dẫn với bạn, có hai wrapper đáng để biết đến.
WireGuard Easy là một container Docker cung cấp một bảng quản trị web. Nó tạo cấu hình peer, in mã QR cho các client di động và lưu mọi thứ trong một volume cấu hình duy nhất. Cài đặt nhanh chóng. Nó phù hợp cho mục đích sử dụng cá nhân và hộ gia đình nhỏ.
WGDashboard là một lựa chọn nặng hơn. Hỗ trợ nhiều peer hơn, nhiều tính năng quản trị hơn, thời gian cài đặt nhiều hơn. Đáng dùng nếu bạn đang quản lý hơn 20 peer; nếu không thì WireGuard Easy là đủ.
Khi Nào OpenVPN Vẫn Còn Chỗ Đứng
OpenVPN chưa lỗi thời. Nó vẫn tồn tại trong hai tình huống cụ thể.
Thứ nhất là các mạng hạn chế chặn UDP. WireGuard chỉ chạy trên UDP, theo thiết kế. Các mạng doanh nghiệp, WiFi khách sạn và một số nhà mạng di động chặn toàn bộ lưu lượng UDP ngoại trừ DNS. OpenVPN có thể chạy trên TCP qua port 443, điều này giúp nó vượt qua nhiều tường lửa hạn chế. Nếu bạn thường xuyên kết nối từ các mạng gây khó dễ với UDP, OpenVPN là phương án dự phòng.
Thứ hai là khả năng hỗ trợ rộng cho các client cũ. Client OpenVPN tồn tại cho mọi hệ điều hành đã hoạt động trong mười lăm năm qua, bao gồm cả những nền tảng mà WireGuard không nhắm đến. Nếu nhóm người dùng của bạn bao gồm điện thoại cũ hoặc thiết bị, khả năng tương thích của OpenVPN rộng hơn.
OpenVPN Access Server bổ sung một giao diện quản trị web bên trên giao thức và miễn phí cho hai kết nối đồng thời. Vượt quá hai kết nối, việc cấp phép tính theo người dùng. Pritunl là một lựa chọn thứ ba bổ sung một bảng quản trị tương đương cho cả OpenVPN và WireGuard mà không cấp phép theo người dùng. Với mục đích sử dụng cá nhân, gói miễn phí của OpenVPN AS là đủ. Với các nhóm nhỏ đã từ chối Tailscale, Pritunl là lựa chọn gọn gàng hơn. Hướng dẫn cài đặt đầy đủ cho OpenVPN thuần được trình bày trong bài viết của chúng tôi về cài đặt OpenVPN trên VPS.
Chọn Một Vị Trí
Khu vực pháp lý quan trọng hơn thông lượng ở quy mô này. Nếu một phần lý do bạn tự lưu trữ là giảm thiểu việc bị lộ trước các thỏa thuận chia sẻ tình báo, nhóm liên quan là liên minh Five Eyes (US, UK, Canada, Úc, New Zealand) cùng các đối tác mở rộng của nó. Frankfurt và Amsterdam là những lựa chọn phổ biến không thuộc Five Eyes ở Châu Âu. Dubai đáng chú ý nếu lưu lượng của bạn nằm ở khu vực Trung Đông. Thụy Sĩ và Singapore có khung bảo vệ dữ liệu mạnh hơn nhưng thường hết hàng ở các nhà cung cấp nhỏ hơn.
Nếu WireGuard phù hợp với nhu cầu của bạn, VPS WireGuard một cú nhấp chuột của chúng tôi giúp bạn vượt qua quá trình cài đặt và hoàn tất trong vài phút.
Trường Hợp Sử Dụng 2: Mạng Mesh Cho Nhóm
Kết Luận Nhanh: Tailscale cho phần lớn các nhóm. Headscale hoặc Netmaker nếu bạn cần tự sở hữu control plane. Mesh WireGuard thuần chỉ khi bạn có ít hơn 10 node và đủ kiên nhẫn.
Ba kỹ sư làm việc từ xa, một home lab, một máy chủ staging trên AWS và một VM cơ sở dữ liệu trong một rack đặt tại trung tâm dữ liệu. Năm máy này cần giao tiếp với nhau mà không để lộ các port công khai. Không máy nào trong số đó có IP công khai ổn định. Hai trong số đó nằm sau Carrier-Grade NAT.
Đây là bài toán mà mesh WireGuard không được thiết kế để giải quyết một cách gọn gàng ở quy mô lớn.
Vì Sao Mesh WireGuard Thuần Gây Khổ Sở Ở Quy Mô Lớn
Một mesh đòi hỏi mỗi peer phải biết về mọi peer khác. Định dạng cấu hình của WireGuard phản ánh trực tiếp điều này: mỗi peer có một mục [Peer] cho mỗi node mà nó giao tiếp. Năm node nghĩa là mỗi tệp cấu hình có bốn khối [Peer], và tổng số cấu hình cần duy trì trên toàn mesh là N nhân với (N trừ 1) chia cho 2.
Với năm node, đó là 10 cặp kết nối. Với 10 node, là 45. Với 20, là 190. Mức tăng trưởng là bậc hai. Thêm một node duy nhất vào mesh 20 node đòi hỏi cập nhật 20 tệp cấu hình và khởi động lại 20 daemon. Gỡ một khóa cũng đòi hỏi như vậy.
Các công cụ như wg-meshconf và Netmaker tồn tại để tự động hóa việc này.
Tailscale: Khuyến Nghị Thẳng Thắn Cho Phần Lớn Các Nhóm
Tailscale thực sự đủ tốt cho phần lớn các nhóm. Control plane được Tailscale lưu trữ, data plane là peer-to-peer trực tiếp, và gói miễn phí bao gồm 100 thiết bị. Cài đặt mất chưa đến năm phút. NAT traversal hoạt động trong phần lớn các môi trường mạng mà không cần cấu hình. ACL được quản lý tập trung.
Lưu ý thẳng thắn: control plane là một phụ thuộc bên thứ ba. Tailscale phân phối các khóa WireGuard kết nối các thiết bị của bạn. Nếu máy chủ điều phối của Tailscale bị xâm phạm, về nguyên tắc một kẻ tấn công có thể chen mình vào mesh. Tailscale công bố tài liệu mô hình rủi ro chi tiết thừa nhận điều này và dùng tailnet lock cùng node-attestation để tăng cường phòng vệ. Với phần lớn các nhóm, phụ thuộc này là chấp nhận được. Với những nhóm có mô hình rủi ro bao gồm kẻ tấn công cấp nhà nước hoặc các yêu cầu quy định nghiêm ngặt về metadata điều phối, thì không.
Data plane của Tailscale bỏ qua các máy chủ của công ty khi có thể. Khi peer-to-peer trực tiếp thất bại, lưu lượng chuyển sang dùng các máy chủ relay DERP của Tailscale, vốn bị giới hạn ở khoảng 5 Mbps. Nếu hai node của bạn luôn phải dùng DERP do bệnh lý NAT, giới hạn relay sẽ trở thành điểm nghẽn.
Mẹo Chuyên Sâu: Nếu ISP gia đình của bạn dùng Carrier-Grade NAT, bạn không thể nhận kết nối đến tại nhà. Tailscale và Headscale tự động xử lý điều này thông qua hole-punching và dự phòng DERP. WireGuard thuần đòi hỏi một VPS có thể truy cập công khai làm relay, với node tại nhà đóng vai trò client khởi tạo các kết nối đi ra.
Headscale: Khi Bạn Cần Tự Sở Hữu Control Plane
Headscale là một bản triển khai lại mã nguồn mở của máy chủ điều phối Tailscale. Client chính thức của Tailscale kết nối tới Headscale thay vì các máy chủ do Tailscale lưu trữ, và trải nghiệm hướng tới người dùng là tương tự. Nhưng nó có một đánh đổi then chốt: bạn tự vận hành control plane, nghĩa là thời gian hoạt động, nâng cấp và vá bảo mật là vấn đề của bạn.
Headscale thiếu một số sự trau chuốt của Tailscale. Cấu hình ACL là YAML và CLI, không phải giao diện web. Các trường hợp biên của MagicDNS thỉnh thoảng xuất hiện mà client chính thức xử lý âm thầm trong phiên bản được lưu trữ. Dự án được bảo trì tốt, chạy trong môi trường production tại các tổ chức cần đến nó, và phù hợp với những nhóm có mô hình rủi ro hoặc yêu cầu tuân thủ đòi hỏi điều phối tự lưu trữ.
Bảo trì Headscale là công việc liên tục. Nếu bạn muốn giảm bớt gánh nặng đó, một Linux VPS với SLA thời gian hoạt động 99.95% và hỗ trợ 24/7 sẽ xử lý khối lượng công việc của bộ điều khiển mà không có gánh nặng trực ca. Bản thân bộ điều khiển nhẹ vì nó chỉ xử lý điều phối; lưu lượng mesh thực tế là peer-to-peer.
Netmaker
Netmaker là một lớp điều phối thay thế chạy bên trên WireGuard thay vì triển khai lại Tailscale. Khác biệt về kiến trúc là đáng kể: khi peer-to-peer trực tiếp thất bại, Netmaker có thể định tuyến qua các node relay tự lưu trữ mà không có giới hạn 5 Mbps mà DERP của Tailscale áp đặt. Với các mesh nhóm cần thông lượng ổn định ngay cả khi NAT thất bại, điều này quan trọng.
Trải nghiệm dành cho nhà phát triển của Netmaker thô ráp hơn của Tailscale. Phiên bản cộng đồng chạy trên một VPS duy nhất và hỗ trợ các trường hợp sử dụng mà hầu hết các nhóm nhỏ gặp phải. Phiên bản thương mại của Netmaker bổ sung các tính năng cho doanh nghiệp nhưng không nằm trong phạm vi thảo luận này.
VPS Netmaker một cú nhấp chuột của chúng tôi đi kèm với việc cài đặt nhanh trên hạ tầng tốc độ cao.
Trường Hợp Sử Dụng 3: Vượt Kiểm Duyệt
Kết Luận Nhanh: Hiddify Manager cho các môi trường kiểm duyệt chủ động. Outline cho các khu vực đơn giản hơn. WireGuard và OpenVPN không vượt qua được kiểm tra gói tin sâu (DPI). Đừng triển khai chúng làm công cụ chống kiểm duyệt.
Lưu lượng của WireGuard có thể nhận diện được qua cấu trúc gói tin UDP của nó, nên nó có thể bị chặn. Vấn đề không phải là mã hóa của WireGuard yếu. Mã hóa hoàn toàn ổn. Vấn đề là các gói tin đã mã hóa trông giống một VPN, và kiểm duyệt hiện đại xem xét hình dạng gói tin, thời điểm và dấu vân tay giao thức, chứ không chỉ nội dung payload.
Một VPN tự lưu trữ dùng làm công cụ chống kiểm duyệt duy nhất sẽ thất bại trong bất kỳ môi trường nào có kiểm tra gói tin sâu chủ động. Cách tiếp cận đúng đắn là một loại công cụ khác: lưu lượng mô phỏng việc duyệt web thông thường đủ tốt để bộ kiểm duyệt không thể phân biệt nó với lưu lượng HTTPS thật đến một website thật.
Loại công cụ này lỗi thời nhanh hơn phần còn lại của hướng dẫn này. Bộ kiểm duyệt thích nghi. Các giao thức bị chặn. Những phương pháp che giấu mới, như REALITY và Hysteria2, đã xuất hiện trong hai năm qua và hai năm tới sẽ mang lại nhiều hơn nữa. Logic lựa chọn, tức là khớp mức độ che giấu với môi trường kiểm duyệt, là bền vững. Công cụ cụ thể hoạt động ở đất nước bạn hôm nay có thể không hoạt động sau sáu tháng. Kho lưu trữ GitHub và trình theo dõi vấn đề của Hiddify là nơi để kiểm tra trạng thái hiện tại trước khi triển khai.
Hiddify Manager: Câu Trả Lời Tốt Nhất Hiện Nay
Hiddify Manager là một meta-tool. Bản thân nó không phải là một giao thức VPN đơn lẻ; nó là một lớp quản trị triển khai, quản lý và xoay vòng hơn 20 giao thức chống kiểm duyệt nền tảng trên một VPS duy nhất. Bản phát hành Hiddify v12 vào tháng 2 năm 2026 hỗ trợ:
- Reality (XTLS trên VLESS)
- Hysteria2
- Shadowsocks-2022 với các biến thể TLS
- V2Ray và Xray với các transport WS, gRPC và H2
- WireGuard để dự phòng
Bảng quản trị web xử lý việc quản lý người dùng, giới hạn lưu lượng và định tuyến giao thức theo từng người dùng.
Tính năng xoay vòng giao thức là phần quan trọng trong thực tế: khi một giao thức bắt đầu thất bại ở một quốc gia nào đó, quản trị viên chuyển người dùng sang giao thức khác mà không cần triển khai lại máy chủ. Đây là khác biệt về vận hành giữa Hiddify và một stack đơn giao thức.
Hai lưu ý về giao thức đáng để hiểu trước khi triển khai. Reality là công nghệ tiên tiến nhất hiện nay để né tránh dấu vân tay TLS. Nó mô phỏng một kết nối HTTPS thật đến một website công khai thật (do người vận hành chọn, thường là một site có lưu lượng cao như cloudflare.com), và một bộ kiểm duyệt xem xét handshake sẽ thấy thứ trông giống một kết nối thông thường đến site đó. Hysteria2 là một giao thức dựa trên UDP với khả năng che giấu tích hợp sẵn, hoạt động tốt trên các mạng hay mất gói; nó nhanh hơn các lựa chọn dựa trên TCP khi mạng không ổn định, vốn mô tả phần lớn các kết nối tiêu dùng trong môi trường bị hạn chế.
Chợ ứng dụng của Cloudzy cũng cung cấp một image Hiddify một cú nhấp chuột trên cùng hạ tầng Linux VPS, có thể triển khai trong vài phút.
Việc lựa chọn vị trí cho trường hợp sử dụng này khác với các trường hợp về quyền riêng tư. Tránh các điểm exit ở US và các nước EU lớn khi phục vụ người dùng trong các khu vực có mức độ phát hiện cao. Các lựa chọn tốt bao gồm Dubai, Frankfurt, Amsterdam và Singapore, vốn cung cấp phạm vi địa lý rộng.
V2Ray, Xray, Shadowsocks: Lớp Bên Dưới
V2Ray và bản fork Xray của nó là họ giao thức mà Hiddify bao bọc. Nếu Hiddify là quá nhiều lớp trừu tượng và bạn muốn triển khai một giao thức đơn lẻ với cấu hình thủ công, thì dùng trực tiếp V2Ray hoặc Xray là con đường nên đi. Đánh đổi nằm ở vận hành: bạn tự mình quản lý daemon, chứng chỉ TLS, thiết lập che giấu và các chế độ lỗi. Phần lớn độc giả sẽ được phục vụ tốt hơn bởi Hiddify.
Shadowsocks cũ hơn. Giao thức gốc vẫn hoạt động trong nhiều môi trường nhưng ngày càng bị DPI hiện đại phát hiện. Shadowsocks-2022 bổ sung các nâng cấp về stream-cipher giúp đóng lại một số loại phát hiện nhưng tự thân nó không giải quyết được các tấn công lấy dấu vân tay giao thức. Nó hợp lý khi là một lựa chọn bên trong một triển khai Hiddify, nhưng kém hợp lý khi là một công cụ độc lập vào năm 2026.
Outline: Các Khu Vực Đơn Giản Hơn
Outline là wrapper của Jigsaw bao quanh Shadowsocks với một giao diện quản trị thân thiện. Nó đã chuyển sang Outline Foundation vào năm 2026 với tư cách là một dự án độc lập. Outline là một lựa chọn hợp lý cho người dùng trong các môi trường mà kiểm duyệt ít gắt gao hơn, nơi che giấu kiểu Shadowsocks đơn giản vẫn còn hiệu quả, và nơi người triển khai không rành kỹ thuật và muốn một trải nghiệm đóng gói sẵn. Hiddify bao phủ rộng hơn trên hầu hết các môi trường.
So Sánh Song Song
| Công cụ | Tốt nhất cho | Cài đặt | Thông lượng | Vượt tường lửa | Yêu cầu VPS tối thiểu | Mô hình tin cậy |
|---|---|---|---|---|---|---|
| WireGuard | Exit node cá nhân | Thấp | ~210 Mbps qua tunnel, ~8 Gbps kernel bare-metal | Chỉ UDP; bị một số mạng chặn | 12 MB RAM | Tự lưu trữ; bạn kiểm soát toàn bộ khóa |
| WireGuard Easy | Cá nhân, ưu tiên giao diện web | Thấp | Giống WireGuard | Chỉ UDP | 512 MB RAM | Tự lưu trữ |
| OpenVPN AS | Mạng chặn UDP | Trung bình | ~110 Mbps qua tunnel | TCP 443 trông giống HTTPS | 1 GB RAM | Tự lưu trữ; 2 kết nối miễn phí |
| Pritunl | Bảng điều khiển OpenVPN/WG cho nhóm nhỏ | Trung bình | Tương đương với giao thức nền | UDP hoặc TCP | 2 GB RAM | Tự lưu trữ; không phí theo người dùng |
| Tailscale | Phần lớn các nhóm | Rất thấp | P2P trực tiếp gần tốc độ đường truyền; DERP bị giới hạn ở 5 Mbps | Tự động vượt NAT | Không cần (control plane được lưu trữ) | Control plane được lưu trữ |
| Headscale | Nhóm cần control plane tự lưu trữ | Trung bình | Giống Tailscale | Tự động vượt NAT | 1 GB RAM | Tự lưu trữ hoàn toàn |
| Netmaker | Mesh nhóm, không giới hạn DERP | Trung bình | Thông lượng cấp WireGuard | Vượt NAT qua các relay tự lưu trữ | 1 GB RAM | Tự lưu trữ hoàn toàn |
| Hiddify Manager | Chống kiểm duyệt, các khu vực hạn chế | Trung bình (giao diện web) | Phụ thuộc vào giao thức | Né tránh DPI qua REALITY, Hysteria2, v.v. | 1 GB RAM | Tự lưu trữ |
Chọn Trường Hợp Sử Dụng Trước
Quyết định nằm ở phía trên công cụ.
- Triển khai WireGuard khi trường hợp sử dụng của bạn là bảo vệ quyền riêng tư cá nhân với exit node của riêng mình.
- Dùng Tailscale nếu trường hợp sử dụng của bạn là kết nối các máy của một nhóm, trừ khi việc tự sở hữu control plane là một phần trong mô hình rủi ro của bạn, trong trường hợp đó hãy chọn Headscale hoặc Netmaker.
Các công cụ không thể thay thế cho nhau; chế độ lỗi khi dùng công cụ này cho một trường hợp sử dụng khác là có thật.
Dù con đường nào áp dụng đi nữa, phần khó của việc triển khai và bảo trì vẫn còn đó. Chợ ứng dụng của Cloudzy có sẵn triển khai một cú nhấp chuột cho mọi công cụ được nêu ở trên. Phần khó là khớp công cụ với mô hình rủi ro. Phần đó nằm ở phía trên bất kỳ nút triển khai nào.
Câu hỏi thường gặp
Tôi Nên Dùng WireGuard Hay OpenVPN Cho VPN Tự Lưu Trữ Của Mình?
WireGuard cho gần như mọi trường hợp. Nó nhanh hơn, có độ trễ thấp hơn, được tích hợp sẵn trong kernel Linux, và đơn giản hơn nhiều để cấu hình. Chỉ dùng OpenVPN khi bạn cần vượt qua các tường lửa chặn UDP (được cấu hình trên TCP port 443) hoặc khi bạn cần khả năng hỗ trợ rộng cho các client cũ mà WireGuard chưa nhắm tới.
Tailscale Có Thực Sự Là Tự Lưu Trữ Không?
Không. Data plane của Tailscale là peer-to-peer, nhưng control plane (phân phối khóa, điều phối danh tính) được Tailscale lưu trữ. Với nhiều nhóm, control plane do Tailscale lưu trữ là chấp nhận được; câu hỏi là liệu mô hình rủi ro của bạn có xem nó là một phụ thuộc mà bạn có thể chấp nhận hay không.
Kích Thước VPS Tối Thiểu Để Chạy Một VPN Tự Lưu Trữ Là Bao Nhiêu?
512 MB of RAM and one virtual CPU is enough for personal WireGuard or OpenVPN. For team mesh controllers like Headscale or Netmaker, 1 GB of RAM is comfortable. For anti-censorship multi-user setups like Hiddify, 1 to 2 GB of RAM handles a small group of users. None of these workloads need a CPU-optimised plan.
Tôi Có Thể Chạy WireGuard Nếu ISP Gia Đình Của Tôi Dùng CGNAT Không?
Không phải với tư cách một máy chủ mà bạn khởi tạo kết nối tới từ bên ngoài. Carrier-Grade NAT hoàn toàn ngăn các kết nối đến tới IP gia đình của bạn. Có hai con đường để vòng qua: thuê một VPS nhỏ làm relay có thể truy cập công khai, với thiết bị tại nhà của bạn kết nối đi ra tới nó; hoặc dùng Tailscale hay Headscale, vốn tự động xử lý vượt NAT thông qua hole-punching. Cả hai đều hiệu quả; cách dùng VPS cho bạn một IP ổn định, còn cách dùng Tailscale cho bạn một mesh.