لماذا تُشغّل WireGuard VPN الخاص بك
يطلب منك مزود VPN التجاري أن تثق بشركة لا تستطيع التحقق منها. أنت تدفع لهم، وتمرر كل حركة مرورك عبر خوادمهم، وتصدّق ادعاءهم بعدم حفظ السجلات. أما VPN المستضاف ذاتيًا فيقلب هذه المعادلة: تستأجر خادمًا، وتثبّت عليه VPN بنفسك، والطرف الوحيد القادر على رؤية حركة مرورك هو أنت. لا يوجد مزوّد وسيط يسجّلها أو يبيعها أو يُكرَه على الإفصاح عنها.
WireGuard هو ما يجعل هذا عمليًا. إنه بروتوكول VPN حديث، صغير وسريع وبسيط — بضعة آلاف من أسطر الكود بدلًا من مئات الآلاف في البروتوكولات القديمة، مما يجعله سهل التدقيق وصعب التهيئة الخاطئة. على VPS متواضع، سيُشبع الاتصال باستهلاك ضئيل جدًا من CPU. ومع VPS بلا KYC وخارج نطاق الولاية القضائية الشائعة، يمنحك نفق WireGuard المستضاف ذاتيًا نقطة خروج خاصة لا تنتمي لأحد سواك — وهذا الدليل يبنيها من الصفر.
ما تحتاجه
يستلزم الإعداد بأكمله خادمًا واحدًا وحوالي خمس عشرة دقيقة:
- VPS. حتى أصغر خطة كافية تمامًا — فـ WireGuard خفيف للغاية. اختر الاختصاص القضائي الذي تريد أن يبدو أن حركة مرورك قادمة منه. VPS من ServPrivacy بدءًا من 7.50 دولار شهريًا مع صلاحية الوصول الكامل كـ root أكثر من كافٍ.
- تثبيت Linux نظيف. أي إصدار حديث من Debian أو Ubuntu يعمل بشكل جيد؛ والأوامر أدناه مبنية على أحدهما. توزيعات أخرى تختلف فقط في خطوة تثبيت الحزمة.
- صلاحية root أو sudo وبضع دقائق في سطر الأوامر.
لا تحتاج إلى نطاق، ولا لوحة تحكم، ولا أي برنامج VPN تابع لجهة خارجية. WireGuard مدمج في نواة Linux الحديثة نفسها.
الخطوة 1 — تثبيت WireGuard على الخادم
اتصل بـ VPS عبر SSH وثبّت أدوات WireGuard. على Debian أو Ubuntu يكفي أمر واحد: apt update && apt install -y wireguard. وحدة النواة موجودة بالفعل في أي نواة حديثة، لذا يُثبَّت هنا فقط أدوات فضاء المستخدم — wg وwg-quick — التي تستخدمها لإدارة الأنفاق.
هذا هو الإعداد بأكمله. لا يوجد دايمون منفصل للتهيئة، ولا حساب للإنشاء، ولا شيء إضافي يحتاج إلى تحديث خارج تحديثات النظام العادية.
الخطوة 2 — توليد المفاتيح وكتابة إعداد الخادم
يعتمد WireGuard على التشفير بالمفتاح العام للتحقق من الأجهزة المتصلة، لذا تكون المهمة الأولى إنشاء زوج مفاتيح للخادم. ولّدهما باستخدام: wg genkey | tee server_private.key | wg pubkey > server_public.key. يبقى المفتاح الخاص على الخادم ولا يُشارَك أبدًا؛ أما المفتاح العام فيُسلَّم لكل عميل.
بعد ذلك، أنشئ ملف تهيئة النفق في /etc/wireguard/wg0.conf. يُعرِّف قسم الخادم نطاق العنوان الخاص بالنفق، والمنفذ الذي يستمع عليه WireGuard (51820 افتراضيًا)، والمفتاح الخاص للخادم. كل جهاز تربطه لاحقًا يُضاف كقسم [Peer] يحتوي على مفتاح العميل العام وعنوانه داخل النفق. احرص على أن يكون الملف قابلًا للقراءة من قِبَل root فقط — فهو يحتوي على المفتاح الخاص للخادم.
التهيئة قصيرة بتعمد. ملف الخادم العامل يقل بوضوح عن عشرين سطرًا، وهذا جزء من سبب صعوبة الوقوع في أخطاء خطيرة مع WireGuard.
الخطوة 3 — تفعيل إعادة التوجيه وفتح المنفذ
لكي يُوجِّه VPN حركة مرورك نحو الإنترنت، يجب على الخادم إعادة توجيه الحزم. فعّل إعادة توجيه IP بضبط net.ipv4.ip_forward=1 في /etc/sysctl.conf وتطبيقه بـ sysctl -p. تحتاج تهيئة النفق أيضًا إلى قاعدة جدار ناري تُنكّر حركة المرور الصادرة لتغادر بعنوان الخادم — تُضاف هذه القاعدة عادةً كسطر PostUp في wg0.conf بحيث تُطبَّق تلقائيًا عند تشغيل النفق.
ثم تأكد من إمكانية الوصول إلى منفذ WireGuard. إذا كان VPS يشغّل جدار ناري، اسمح بـ UDP على المنفذ الذي اخترته (51820 افتراضيًا). يستخدم WireGuard UDP حصرًا، ولأسباب مفيدة للخصوصية لا يُجيب على الحزم غير المطلوبة، لذا لا يستطيع فحص المنافذ حتى تأكيد وجود الخدمة.
شغّل النفق بـ wg-quick up wg0، وفعّله عند الإقلاع بـ systemctl enable [redacted-user]@[redacted-host]. جانب الخادم الآن يعمل.
الخطوة 4 — إضافة عميل والاتصال
كل جهاز يستخدم VPN — سواء كان حاسوبًا محمولًا أو هاتفًا — يحتاج إلى زوج مفاتيح خاص به وملف تهيئة صغير. ولّد زوج مفاتيح للعميل بنفس الطريقة المتبعة مع الخادم، ثم اكتب ملف تهيئة العميل يتضمن مفتاحه الخاص، وعنوانه في النفق، والمفتاح العام للخادم، والعنوان العام للخادم والمنفذ كـ Endpoint، وقيمة AllowedIPs كـ [redacted-ip]/0 لتوجيه كل حركة المرور عبر النفق.
أضف قسم [Peer] المقابل — مع المفتاح العام للعميل — إلى wg0.conf على الخادم وأعد التحميل. على جهاز العميل، ثبّت تطبيق WireGuard (متوفر لجميع منصات سطح المكتب والهاتف)، واستورد الإعداد — تقبل معظم التطبيقات رمز QR، وهو أسهل طريقة للهواتف — ثم فعّل النفق. في غضون ثانية ستمر حركة مرور جهازك عبر VPS الخاص بك. تحقق من ذلك بفحص عنوان IP العام: يجب أن يكون الآن عنوان الخادم.
الخطوة 5 — تعزيز الأمان والصيانة
النفق العامل هو معظم العمل؛ وبعض اللمسات الأخيرة تجعله متينًا:
- أحكم قفل SSH. استخدم تسجيل الدخول بالمفتاح، وعطّل المصادقة بكلمة المرور، وفكّر في نقل SSH عن المنفذ 22. VPN لن يكون أكثر خصوصية من الخادم الذي يعمل عليه.
- حافظ على تحديث النظام. WireGuard نفسه يحتاج إلى اهتمام قليل، لكن نظام التشغيل الأساسي يجب أن يتلقى تحديثات الأمان — فعّل التحديثات التلقائية.
- زوج مفاتيح واحد لكل جهاز. لا تشارك ملف تهيئة عميل واحدًا بين أجهزة متعددة. في حال فقدان جهاز، تحذف قسم الـ peer الخاص به فقط دون إعادة إنشاء كل شيء.
- حدد DNS في إعداد العميل. وجّه العميل نحو محلل يحترم الخصوصية لكي تمر استعلامات DNS أيضًا عبر النفق بدلًا من التسرب إلى الشبكة المحلية.
- ثق في الإعدادات الافتراضية للتسجيل. WireGuard لا يحفظ أي شيء عن حركة المرور التي يحملها؛ ببساطة لا توجد سجلات لما يمر عبره، لذا لا شيء إضافي تحتاج إلى تعطيله.
مع هذا الصيانة، لا يحتاج الخادم إلى أي اهتمام يذكر — WireGuard قريب من مبدأ الإعداد والنسيان.
متى يكون VPN المستضاف ذاتيًا الخيار الصحيح
VPN WireGuard المستضاف ذاتيًا هو الخيار الأمثل حين تريد نقطة خروج خاصة تستجيب لك وحدك — لتأمين اتصالك على الشبكات غير الموثوقة، وإبعاد تصفحك عن مزود خدمة الإنترنت، أو الظهور من اختصاص قضائي محدد. ولأنه خادمك، لا يوجد عنوان IP مشترك مع آلاف الغرباء، ولا سياسة تسجيل لدى مزوّد يجب تصديقها.
من المهم التوضيح بشأن ما لا يفعله هذا الحل: VPN بخادم واحد يمنحك الخصوصية من مزود الإنترنت والمواقع التي تزورها، لكن مزوّد VPS يستطيع من حيث المبدأ مراقبة حركة المرور عند نقطة الخروج. وهنا بالضبط تكمن أهمية اختيار المزوّد — VPS بلا KYC، وبلا سجلات، وخارج نطاق الولاية القضائية الشائعة يعني أن نقطة الخروج بيد مزوّد لم يجمع أي هوية ولا يحتفظ بأي سجلات. WireGuard المستضاف ذاتيًا مضافًا إليه VPS المناسب هو، بالنسبة لمعظم الناس، الإعداد الأكثر صدقًا للخصوصية المتاح: لا ثقة مطلوبة إلا بالبنية التحتية التي تتحكم فيها.