WireGuard adalah cara tercepat dan paling ringan untuk menjalankan VPN sendiri. WireGuard berjalan di kernel Linux, menggunakan kriptografi modern, dan tunnel yang berfungsi hanya berupa satu file konfigurasi pendek di setiap sisi. Menghosting sendiri di VPS berarti Anda mengendalikan titik keluar dari ujung ke ujung: tidak ada server komersial bersama yang mencatat trafik Anda, dan satu-satunya pihak yang melihat IP asli Anda adalah host yang Anda pilih.
Panduan ini memandu melalui server lengkap dalam sekitar sepuluh menit, dengan perintah nyata yang dapat Anda salin. Kami mengasumsikan kotak Debian atau Ubuntu LTS baru dengan akses root. Jika Anda belum melakukan deploy, VPS tanpa KYC yang dibayar dengan kripto sangat cocok dengan VPN self-hosted, dan tingkatan entry kami sudah lebih dari cukup. Di akhir, Anda akan memiliki tunnel yang otomatis aktif setiap reboot dan konfigurasi client yang dapat dipindai sebagai kode QR di ponsel Anda.
Mengapa self-host WireGuard alih-alih membeli VPN
VPN komersial memberi Anda kemudahan dan kumpulan IP exit yang besar, tetapi Anda mempercayai pihak ketiga untuk tidak mencatat dan untuk sungguh-sungguh menjalankan kebijakan privasi mereka. Endpoint WireGuard self-hosted membalik itu: Anda memiliki kotaknya, Anda menulis konfigurasinya, dan Anda memutuskan apakah ada yang dicatat sama sekali. Tidak ada alamat exit bersama dengan ribuan orang asing, yang juga berarti tidak ada riwayat penyalahgunaan mereka yang menempel pada Anda.
Trade-off-nya jujur: penyedia VPS masih dapat melihat bahwa sebuah IP ada dan meneruskan trafik, jadi self-hosting memindahkan kepercayaan dari merek VPN ke host Anda. Itulah tepatnya mengapa menguntungkan untuk menjalankannya di VPS offshore tanpa KYC di yurisdiksi yang peduli privasi, dibayar tanpa menyerahkan identitas Anda. Inilah juga mengapa kami menyebut privat, bukan anonim: tunnel self-hosted meningkatkan postur Anda, tetapi anonimitas sejati tetap bergantung pada kebersihan pembayaran dan jaringan Anda sendiri. Untuk kasus yang lebih luas, lihat ikhtisar kami tentang menjalankan VPS untuk VPN.
Tingkatan mana yang dipilih untuk VPN pribadi
WireGuard sangat ringan dari sisi sumber daya. Satu core CPU dan 1 GB RAM akan memenuhi sebagian besar koneksi rumahan, dan pekerjaan enkripsi terjadi di kernel daripada di daemon userspace yang berat. Untuk satu orang atau beberapa perangkat, tingkatan Pup (1 vCPU, 1 GB RAM, 25 GB NVMe) sudah lebih dari cukup, dan seperti setiap tingkatan, ia dilengkapi trafik tak terbatas sehingga VPN tidak menghabiskan kuota terukur.
Tingkatkan hanya jika Anda menambah beban. Beberapa anggota keluarga di tunnel yang sama tidak masalah di Pup atau Cub; jika Anda ingin menghosting layanan lain bersama, menjalankan beberapa container, atau melayani beberapa stream berat secara bersamaan, pindah ke Scout atau Runner untuk core dan RAM tambahan. Lokasi sama pentingnya dengan ukuran untuk VPN: pilih berdasarkan latensi dan yurisdiksi, yang kami bahas lebih lanjut di bawah. Anda dapat membayar dengan Monero atau koin yang didukung lainnya, dan server melakukan deploy dalam sekitar enam puluh detik tanpa biaya setup.
Langkah 1 — Install WireGuard
WireGuard sudah ada di kernel Linux modern, jadi instalasi hanya memerlukan tooling userspace. Di Debian atau Ubuntu LTS, perbarui indeks paket dan install paket sebagai root:
apt update && apt install -y wireguard
Ini mengambil wg dan wg-quick, dua perintah yang akan Anda gunakan untuk mengelola tunnel. Di AlmaLinux, Rocky atau Fedora, perintah yang setara adalah dnf install -y wireguard-tools. Verifikasi keberadaannya dengan wg --version sebelum melanjutkan.
Langkah 2 — Buat key server dan client
WireGuard mengautentikasi peer dengan keypair Curve25519, bukan kata sandi. Kunci direktori terlebih dahulu, lalu buat satu keypair untuk server dan satu untuk setiap perangkat client. Jalankan sebagai root:
umask 077; cd /etc/wireguard
wg genkey | tee server_private.key | wg pubkey > server_public.key
wg genkey | tee client_private.key | wg pubkey > client_public.key
Sekarang Anda memiliki empat file. Dua key publik dipertukarkan antar peer; dua key privat tidak pernah meninggalkan mesin yang menjadi miliknya. Cetak dengan cat server_private.key dan seterusnya saat Anda mengisi konfigurasi pada langkah berikutnya. Buat keypair client baru per perangkat daripada menggunakan ulang satu keypair di ponsel dan laptop.
Langkah 3 — Tulis /etc/wireguard/wg0.conf
Buat konfigurasi antarmuka server di /etc/wireguard/wg0.conf. Ini mendefinisikan subnet tunnel (10.0.0.0/24 di sini), port listen, dan aturan NAT agar trafik client dimasquerade keluar melalui antarmuka publik server. Ganti SERVER_PRIVATE_KEY dan CLIENT_PUBLIC_KEY dengan nilai dari langkah 2, dan konfirmasi nama NIC publik Anda dengan ip route get 1.1.1.1 (sering eth0 atau ens3):
[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = SERVER_PRIVATE_KEY
PostUp = iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
[Peer]
PublicKey = CLIENT_PUBLIC_KEY
AllowedIPs = 10.0.0.2/32Server adalah 10.0.0.1; client pertama akan menjadi 10.0.0.2. Setiap perangkat tambahan mendapat blok [Peer] sendiri dan alamat berikutnya dalam rentang.
Langkah 4 — Aktifkan IP forwarding dan buka firewall
Agar server dapat meneruskan trafik client ke internet, kernel harus meneruskan paket. Aktifkan secara permanen dan terapkan sekarang:
echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf && sysctl -p
Kemudian buka port WireGuard. WireGuard secara default mendengarkan di UDP 51820. Jika Anda menggunakan UFW:
ufw allow 51820/udp && ufw allow OpenSSH
Selalu izinkan port SSH Anda dalam napas yang sama agar Anda tidak terkunci keluar saat mengaktifkan firewall. Setiap VPS VPSCrypto dilengkapi IPv4 bersih dedicated dan IPv6 /64, sehingga satu aturan UDP ini adalah satu-satunya eksposur inbound yang dibutuhkan VPN Anda.
Langkah 5 — Aktifkan tunnel dan aktifkan saat boot
Mulai antarmuka dengan helper yang membaca konfigurasi Anda, kemudian aktifkan unit systemd agar bertahan setelah reboot:
wg-quick up wg0
systemctl enable wg-quick@wg0
Konfirmasi antarmuka aktif dan mendengarkan dengan wg show, yang mencetak antarmuka, key publiknya, dan port yang didengarkan. Pada titik ini sisi server selesai; satu-satunya yang tersisa adalah mengarahkan client ke sana. Jika Anda mengubah wg0.conf nanti, terapkan dengan bersih menggunakan wg-quick down wg0 && wg-quick up wg0.
Langkah 6 — Konfigurasi perangkat client Anda
Di laptop atau ponsel Anda, install aplikasi atau paket WireGuard resmi dan buat tunnel dari konfigurasi ini. Gunakan key privat client dari langkah 2 dan key publik server. Endpoint client adalah IP publik server Anda diikuti port UDP WireGuard, misalnya 203.0.113.10:51820:
[Interface]
PrivateKey = CLIENT_PRIVATE_KEY
Address = 10.0.0.2/32
DNS = 1.1.1.1
[Peer]
PublicKey = SERVER_PUBLIC_KEY
Endpoint = 203.0.113.10:51820
AllowedIPs = 0.0.0.0/0, ::/0
PersistentKeepalive = 25Menyetel AllowedIPs ke 0.0.0.0/0, ::/0 meneruskan semua trafik melalui tunnel. Di ponsel, buat kode QR dari file ini dengan qrencode -t ansiutf8 < client.conf di server dan pindai di aplikasi. Aktifkan tunnel, lalu periksa IP yang terlihat — sekarang seharusnya menjadi IP server. Baris PersistentKeepalive menjaga koneksi tetap aktif di belakang NAT.
Tips penguatan keamanan
Tunnel yang berfungsi adalah awal, bukan akhir. Rotasi key secara berkala dengan membuat ulang keypair client dan menukar key publik di blok [Peer] server. Pertahankan keypair terpisah per perangkat agar Anda dapat mencabut satu tanpa mengganggu yang lain — untuk mencabut, cukup hapus blok peer tersebut dan terapkan ulang konfigurasi.
- Nonaktifkan logging yang tidak Anda butuhkan. WireGuard sendiri diam secara default; tinjau log SSH dan sistem Anda dan pangkas retensi jika jejak minimal penting bagi Anda.
- Kunci SSH dengan autentikasi hanya key dan pertimbangkan memindahkannya dari port 22; pertahankan port tersebut diizinkan di UFW sebelum Anda mengaktifkan firewall.
- Pilih yurisdiksi dengan sengaja. Lokasi server kini menjadi postur privasi VPN Anda. Swiss di bawah FADP dan Islandia dengan tradisi kebebasan persnya adalah pilihan yang kuat; Belanda dan Prancis menukar sebagian itu untuk latensi UE yang lebih rendah.
Untuk operasi berkelanjutan dan penanganan kredensial, dokumentasi kami mencakup DNS terbalik, IPv6 dan fitur panel secara detail.
VPS vs VPN komersial — kapan self-hosting masuk akal
Self-hosting unggul ketika Anda menginginkan IP dedicated, kendali penuh atas logging, dan tunnel yang tidak dipasarkan provider kepada ribuan pengguna. Ini ideal untuk mengakses layanan Anda sendiri, mendapatkan alamat stabil untuk daftar izin, atau sekadar tidak mempercayai klaim no-logs perusahaan VPN. Biayanya adalah Anda yang merawatnya, dan IP exit self-hosted tunggal tidak dirancang untuk menyatu dalam keramaian seperti yang dilakukan pool IP bersama VPN komersial.
VPN komersial unggul dalam kemudahan, berpindah negara, dan deniabilitas yang masuk akal dari IP bersama. Untuk sebagian besar pengguna yang peduli privasi dan menginginkan satu endpoint tepercaya yang benar-benar mereka miliki, VPS kecil yang menjalankan WireGuard adalah jawaban yang lebih baik — dan membayarnya melalui checkout kripto tanpa KYC menjaga setup tetap konsisten dari ujung ke ujung. Jika Anda masih mempertimbangkan pendekatannya, ikhtisar VPS-untuk-VPN kami membandingkan keduanya lebih mendalam.
Pertanyaan yang sering diajukan
Berapa kapasitas VPS yang dibutuhkan untuk VPN WireGuard pribadi?
Sangat sedikit. WireGuard berjalan di kernel dan ringan dari sisi CPU dan memori, sehingga tingkatan Pup kami (1 vCPU, 1 GB RAM, 25 GB NVMe) dengan trafik tak terbatas menangani VPN pribadi dengan nyaman. Tingkatkan ke Scout atau Runner hanya jika Anda menambahkan beberapa pengguna atau menghosting layanan lain bersama.
Port mana yang digunakan WireGuard?
Secara default mendengarkan di UDP 51820. Buka di firewall Anda dengan ufw allow 51820/udp dan Anda siap. Anda dapat mengubah ListenPort di wg0.conf jika Anda lebih suka port yang berbeda, tetapi ingat untuk membuka aturan yang cocok dan memperbarui Endpoint client.
Apakah VPN WireGuard self-hosted lebih privat daripada VPN komersial?
Bisa jadi, karena hanya Anda yang mengendalikan endpoint dan apakah ada yang dicatat — tidak ada exit bersama dan tidak ada klaim no-logs vendor yang harus dipercaya begitu saja. Trade-off-nya adalah host VPS Anda melihat IP, sehingga keuntungan privasi bergantung pada memilih host tanpa KYC di yurisdiksi yang kuat dan membayar secara privat. Ini adalah peningkatan nyata, bukan jaminan anonimitas.
Bisakah saya menjalankan WireGuard dan layanan lain di VPS yang sama?
Ya. WireGuard ringan dan dapat berdampingan dengan workload lain. Untuk VPN pribadi ditambah situs kecil atau beberapa container, Pup atau Cub sudah cukup; untuk layanan yang lebih berat yang berjalan bersama tunnel, tingkatkan ke Scout atau Runner untuk core dan RAM tambahan.
Lokasi mana yang terbaik untuk VPS VPN?
Pilih berdasarkan latensi dan yurisdiksi. Belanda atau Prancis memberikan latensi UE rendah dari hub yang terhubung baik; Swiss di bawah FADP dan tradisi kebebasan pers Islandia memberikan postur privasi yang lebih kuat dengan premi kecil. Karena Anda mengendalikan endpoint, yurisdiksi server secara efektif menjadi yurisdiksi VPN Anda.

