Все системы работают Амстердам · Париж · Рейкьявик +5 Оплата через Криптовалюта
Сети и self-hostingСредний уровень9 мин чтенияОбновлено 2026-07-14

Как настроить WireGuard VPN на VPS

Настройте WireGuard VPN на VPS примерно за десять минут: установите пакет, сгенерируйте ключи, создайте wg0.conf, откройте UDP 51820 и подключите клиента. Пошаговая инструкция для сервера no-KYC с оплатой криптовалютой.

Как настроить WireGuard VPN на VPS
На этой странице
  1. Зачем разворачивать WireGuard самостоятельно вместо покупки VPN
  2. Какой тариф выбрать для личного VPN
  3. Шаг 1 — Установка WireGuard
  4. Шаг 2 — Генерация ключей сервера и клиента
  5. Шаг 3 — Создание /etc/wireguard/wg0.conf
  6. Шаг 4 — Включение IP-форвардинга и открытие брандмауэра
  7. Шаг 5 — Запуск туннеля и включение автозапуска
  8. Шаг 6 — Настройка клиентского устройства
  9. Советы по усилению безопасности
  10. VPS против коммерческого VPN — когда самостоятельный хостинг оправдан
  11. Часто задаваемые вопросы

WireGuard — самый быстрый и лёгкий способ запустить собственный VPN. Он работает на уровне ядра Linux, использует современную криптографию, а рабочий туннель — это всего лишь один короткий конфигурационный файл на каждой стороне. Если вы разворачиваете его на VPS, вы полностью контролируете точку выхода: никакого общего коммерческого сервера, который логирует ваш трафик, а единственная сторона, видящая ваш реальный IP, — это выбранный вами хостинг-провайдер.

Это руководство проведёт вас через полную настройку сервера примерно за десять минут с реальными командами, которые можно скопировать. Предполагается чистая установка Debian или Ubuntu LTS с доступом к root. Если вы ещё не развернули сервер, офшорный VPS без KYC с оплатой криптовалютой отлично сочетается с самостоятельным VPN, а нашего начального тарифа более чем достаточно. По завершении у вас будет туннель, который поднимается при каждой перезагрузке, и конфигурация клиента, которую можно отсканировать как QR-код на телефоне.

Зачем разворачивать WireGuard самостоятельно вместо покупки VPN

Коммерческий VPN предоставляет удобство и большой пул IP-адресов для выхода, но вы доверяете третьей стороне, рассчитывая, что та не ведёт логи и соблюдает политику конфиденциальности. Самостоятельно развёрнутая точка WireGuard меняет ситуацию на противоположную: вы владеете сервером, пишете конфигурацию и сами решаете, логировать ли что-либо вообще. Нет общего выходного адреса, которым пользуются тысячи чужих людей, — а значит, их история злоупотреблений не падает на вас.

Компромисс честный: хостинг-провайдер VPS всё равно видит, что IP существует и маршрутизирует трафик, поэтому самостоятельный хостинг перемещает доверие от бренда VPN к вашему провайдеру. Именно поэтому имеет смысл запускать его на офшорном VPS без KYC в юрисдикции с уважением к приватности, оплачивая без раскрытия личности. Именно поэтому мы говорим о приватности, а не об анонимности: самостоятельный туннель улучшает вашу защиту, но настоящая анонимность всё равно зависит от вашей платёжной и сетевой гигиены. Подробнее о варианте использования — в нашем обзоре VPS для VPN.

Какой тариф выбрать для личного VPN

WireGuard поразительно экономно потребляет ресурсы. Одно ядро CPU и 1 ГБ ОЗУ насытят большинство домашних подключений, а работа по шифрованию происходит в ядре, а не в тяжёлом пользовательском демоне. Для одного человека или нескольких устройств тариф Pup (1 vCPU, 1 ГБ ОЗУ, 25 ГБ NVMe) вполне достаточен, и, как и на всех тарифах, безлимитный трафик означает, что VPN не израсходует лимит.

Переходите на более высокий тариф только при необходимости. Несколько членов семьи на одном туннеле прекрасно работают на Pup или Cub; если вы хотите дополнительно размещать другие сервисы, запускать несколько контейнеров или обслуживать несколько одновременных потоков с высокой нагрузкой, переходите на Scout или Runner для дополнительных ядер и ОЗУ. Для VPN локация важна не меньше, чем размер: выбирайте по задержке и юрисдикции — об этом далее. Вы можете платить в Monero или любой другой поддерживаемой монете, а сервер разворачивается примерно за шестьдесят секунд без платы за установку.

Шаг 1 — Установка WireGuard

WireGuard поставляется в ядре современного Linux, поэтому установка сводится к пользовательским утилитам. На Debian или Ubuntu LTS обновите индекс пакетов и установите пакет от имени root:

apt update && apt install -y wireguard

Это установит wg и wg-quick — две команды для управления туннелем. На AlmaLinux, Rocky или Fedora аналогом является dnf install -y wireguard-tools. Перед продолжением убедитесь в наличии пакета командой wg --version.

Шаг 2 — Генерация ключей сервера и клиента

WireGuard аутентифицирует узлы с помощью ключевых пар Curve25519, а не паролей. Сначала ограничьте доступ к директории, затем сгенерируйте одну ключевую пару для сервера и одну для каждого клиентского устройства. Выполните от имени root:

umask 077; cd /etc/wireguard

wg genkey | tee server_private.key | wg pubkey > server_public.key

wg genkey | tee client_private.key | wg pubkey > client_public.key

Теперь у вас четыре файла. Два публичных ключа обмениваются между узлами; два приватных никогда не покидают машину, которой принадлежат. Выведите их командой cat server_private.key и т. д., когда будете заполнять конфигурацию на следующем шаге. Генерируйте новую ключевую пару для каждого устройства, а не используйте одну и ту же на телефоне и ноутбуке.

Шаг 3 — Создание /etc/wireguard/wg0.conf

Создайте конфигурацию серверного интерфейса в /etc/wireguard/wg0.conf. Файл определяет подсеть туннеля (здесь 10.0.0.0/24), порт прослушивания и правило NAT, которое маскирует трафик клиентов через публичный интерфейс сервера. Замените SERVER_PRIVATE_KEY и CLIENT_PUBLIC_KEY значениями из шага 2, а имя публичного сетевого интерфейса уточните командой ip route get 1.1.1.1 (обычно eth0 или ens3):

[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = SERVER_PRIVATE_KEY
PostUp = iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
PublicKey = CLIENT_PUBLIC_KEY
AllowedIPs = 10.0.0.2/32

Сервер имеет адрес 10.0.0.1; первый клиент получит 10.0.0.2. Каждое дополнительное устройство получает собственный блок [Peer] и следующий адрес в диапазоне.

Шаг 4 — Включение IP-форвардинга и открытие брандмауэра

Чтобы сервер мог маршрутизировать трафик клиентов в интернет, ядро должно пересылать пакеты. Включите это постоянно и примените немедленно:

echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf && sysctl -p

Затем откройте порт WireGuard. По умолчанию WireGuard слушает UDP 51820. Если вы используете UFW:

ufw allow 51820/udp && ufw allow OpenSSH

Всегда открывайте SSH-порт одновременно, чтобы не заблокировать себе доступ при включении брандмауэра. Каждый VPS VPSCrypto поставляется с выделенным чистым IPv4 и блоком IPv6 /64, поэтому это единственное входящее правило UDP, необходимое вашему VPN.

Шаг 5 — Запуск туннеля и включение автозапуска

Запустите интерфейс с помощью утилиты, читающей конфигурацию, затем включите systemd-юнит, чтобы он переживал перезагрузки:

wg-quick up wg0

systemctl enable wg-quick@wg0

Убедитесь, что интерфейс активен и слушает, с помощью wg show — команда выведет интерфейс, его публичный ключ и порт прослушивания. На этом серверная часть завершена; осталось только настроить клиент. Если позднее вы изменили wg0.conf, примените изменения чисто командой wg-quick down wg0 && wg-quick up wg0.

Шаг 6 — Настройка клиентского устройства

На ноутбуке или телефоне установите официальное приложение или пакет WireGuard и создайте туннель из этой конфигурации. Используйте приватный ключ клиента из шага 2 и публичный ключ сервера. Параметр Endpoint клиента — это просто публичный IP вашего сервера с портом WireGuard UDP, например 203.0.113.10:51820:

[Interface]
PrivateKey = CLIENT_PRIVATE_KEY
Address = 10.0.0.2/32
DNS = 1.1.1.1

[Peer]
PublicKey = SERVER_PUBLIC_KEY
Endpoint = 203.0.113.10:51820
AllowedIPs = 0.0.0.0/0, ::/0
PersistentKeepalive = 25

Установка AllowedIPs в 0.0.0.0/0, ::/0 направляет весь трафик через туннель. На мобильном устройстве сгенерируйте QR-код из этого файла командой qrencode -t ansiutf8 < client.conf на сервере и отсканируйте его в приложении. Активируйте туннель, затем проверьте видимый IP — теперь это должен быть IP сервера. Строка PersistentKeepalive поддерживает соединение активным за NAT.

Советы по усилению безопасности

Рабочий туннель — это начало, а не конец. Периодически ротируйте ключи: генерируйте новую ключевую пару клиента и меняйте публичный ключ в блоке [Peer] сервера. Храните отдельную ключевую пару для каждого устройства, чтобы можно было отозвать одну, не затрагивая остальные, — для отзыва просто удалите блок этого узла и примените конфигурацию заново.

  • Отключите логирование, которое вам не нужно. WireGuard сам по себе молчалив по умолчанию; проверьте журналы SSH и системы и сократите срок хранения, если для вас важен минимальный след.
  • Заблокируйте SSH, разрешив только аутентификацию по ключу, и рассмотрите возможность перевода его с порта 22; держите этот порт открытым в UFW до включения брандмауэра.
  • Выбирайте юрисдикцию обдуманно. Локация сервера теперь определяет уровень приватности вашего VPN. Швейцария под защитой FADP и Исландия с её традицией свободы прессы — сильные варианты; Нидерланды и Франция уступают им в этом, но компенсируют низкой задержкой внутри ЕС.

По вопросам эксплуатации и управления учётными данными наша документация подробно описывает обратный DNS, IPv6 и функции панели управления.

VPS против коммерческого VPN — когда самостоятельный хостинг оправдан

Самостоятельный хостинг выигрывает, когда вам нужен выделенный IP, полный контроль над логированием и туннель, который провайдер не продаёт тысячам пользователей. Это идеально для доступа к собственным сервисам, получения стабильного адреса для белых списков или просто для того, чтобы не доверять заявлению VPN-компании о нулевых логах. Цена — необходимость самостоятельно его обслуживать, а единственный самостоятельный выходной IP не предназначен для растворения в толпе, как общий пул коммерческого VPN.

Коммерческие VPN выигрывают по удобству, смене стран и правдоподобному отрицанию при использовании общего IP. Для большинства пользователей, заботящихся о конфиденциальности и желающих иметь один доверенный эндпоинт, которым они реально владеют, небольшой VPS с WireGuard — лучший ответ. И оплата через крипто без KYC делает настройку последовательной от начала до конца. Если вы ещё взвешиваете этот подход, наш обзор VPS для VPN сравнивает оба варианта подробнее.

Часто задаваемые вопросы

Сколько ресурсов VPS нужно для личного WireGuard VPN?

Совсем немного. WireGuard работает в ядре и экономно потребляет CPU и память, поэтому наш тариф Pup (1 vCPU, 1 ГБ ОЗУ, 25 ГБ NVMe) с безлимитным трафиком комфортно справится с личным VPN. Переходите на Scout или Runner только при добавлении нескольких пользователей или размещении дополнительных сервисов.

Какой порт использует WireGuard?

По умолчанию он слушает UDP 51820. Откройте его в брандмауэре командой ufw allow 51820/udp — и готово. Вы можете изменить ListenPort в wg0.conf, если предпочитаете другой порт, но не забудьте открыть соответствующее правило и обновить параметр Endpoint клиента.

Обеспечивает ли самостоятельный WireGuard VPN более высокую приватность, чем коммерческий VPN?

Может обеспечить, потому что только вы контролируете эндпоинт и решаете, что логировать, — нет общего выхода и заявлений провайдера о нулевых логах, которым нужно доверять. Компромисс: хостинг-провайдер VPS видит IP, поэтому выигрыш в приватности зависит от выбора хоста без KYC в сильной юрисдикции с приватной оплатой. Это реальное улучшение, но не гарантия анонимности.

Можно ли запускать WireGuard и другие сервисы на одном VPS?

Да. WireGuard легковесен и спокойно сосуществует с другими нагрузками. Для личного VPN плюс небольшого сайта или пары контейнеров подойдёт Pup или Cub; для более тяжёлых сервисов рядом с туннелем переходите на Scout или Runner для дополнительных ядер и ОЗУ.

Какая локация лучше всего подходит для VPN VPS?

Выбирайте по задержке и юрисдикции. Нидерланды или Франция обеспечивают низкую задержку в ЕС через хорошо связанный узел; Швейцария под защитой FADP и исландская традиция свободы прессы дают более сильную позицию по приватности с небольшой наценкой. Поскольку вы контролируете эндпоинт, юрисдикция сервера фактически становится юрисдикцией вашего VPN.

Разверните офшорный VPS примерно за минуту

Без KYC, оплата криптовалютой, только NVMe. Выберите тариф, оплатите в Monero или любой крупной монете — root-доступ примерно через 60 секунд.

Fenrir на страже