یک VPN خود-میزبان روی یک VPS بدون KYC در یک کشور با حریم خصوصی دوستانه یکی از مقرونبهصرفهترین ارتقاهای حریم خصوصی است که میتوانید در سال ۲۰۲۶ انجام دهید. برای کمتر از $10 در ماه یک ارائهدهنده VPN تجاری را — که باید سیاست ثبتگذاریشان را با ایمان قبول کنید — با یک تنظیم جایگزین میکنید که مرز اعتماد مال خودتان است. دو پروتکلی که امروز ارزش اجرا دارند WireGuard و OpenVPN هستند. از صفحه بازاریابی قابل تعویض به نظر میرسند؛ اما نیستند. این راهنما تفاوتهای واقعی، مشکلات تنظیم که اهمیت دارند، و بهداشت عملیاتی را که جعبه را برای سالها مفید نگه میدارد مرور میکند.
چرا خود-میزبانی به جای استفاده از VPN تجاری؟
مرز اعتماد به شما منتقل میشود
یک ارائهدهنده VPN تجاری هر سایتی که بازدید میکنید را میبیند. سیاست حریم خصوصی آنها یک وعده است — حتی با ممیزیهای عمومی بدون ثبتگذاری، در بهترین حالت بهطور سطحی قابل تأیید است. وقتی خود-میزبانی میکنید، تنها موجودی که ترافیک شما را در لایه VPN میبیند خود شما هستید. هاست میداند که IP وجود دارد و ترافیک جاری است؛ آنچه درون تونل است برای آنها مبهم است.
بدون KYC، بدون شهرت IP خروجی مشترک
IPهای خروجی VPN تجاری بهطور مداوم در لیست سیاه قرار میگیرند. تا سال ۲۰۲۶ بیشتر محدودههای IP ارائهدهندگان اصلی توسط Cloudflare، کپچاهای Google، سیستمهای ضد تقلب خدمات مالی، و جغرافیا-حصارهای پخشجریانی پرچمگذاری شدهاند. یک نقطه پایانی خود-میزبان روی یک IP دیتاسنتر تازه بدون سابقه بهندرت به هیچکدام از آنها برمیخورد — تا زمانی که از آن سوءاستفاده کنید، در آن نقطه IP میسوزد و شما یکی جدید راه میاندازید.
هزینه
VPN تجاری: $5 تا $13 در ماه به ازای هر کاربر. خود-میزبان روی یک VPS 1GB / 1 vCPU: $5 تا $8 در ماه، پشتیبانی از کل خانوار و بهراحتی رسیدن به 200 Mbps روی WireGuard. نقطه تقاطع در یک کاربر است.
آنچه از دست میدهید
انتخاب چندین کشور خروجی. یک VPN تجاری با یک کلیک بیش از ۵۰ کشور خروجی در اختیار شما میگذارد؛ خود-میزبانی دقیقاً کشوری که VPS شما در آن است را میدهد. راهحل این است که دو یا سه جعبه در حوزههای قضایی مختلف راه بیندازید — هنوز ارزانتر از تجاری.
WireGuard در برابر OpenVPN: مقایسه در سطح پروتکل
WireGuard در یک نگاه
WireGuard یک پروتکل VPN مدرن طراحیشده توسط Jason Donenfeld است که در مارس ۲۰۲۰ به هسته Linux اضافه شد. پایگاه کد: حدود ۴٬۰۰۰ خط C (در مقابل ~۷۰٬۰۰۰ برای OpenVPN). در فضای هسته روی Linux اجرا میشود که منشأ اصلی مزیت سرعت است. رمزنگاری ثابت است: ChaCha20-Poly1305 برای متقارن، Curve25519 برای تبادل کلید، BLAKE2s برای هشکردن، بدون مذاکره الگوریتم. پیکربندی یک فایل متنی ۴ تا ۱۰ خطی است.
OpenVPN در یک نگاه
OpenVPN استاندارد تثبیتشده است که از سال ۲۰۰۱ در تولید بوده. در فضای کاربر اجرا میشود، از OpenSSL یا mbedTLS برای رمزنگاری استفاده میکند، از طیف گستردهای از روشهای رمزنگاری و احراز هویت پشتیبانی میکند، و تا حد نقص قابل پیکربندی است. پشتیبانی بومی از انتقال TCP (ضروری برای برخی شبکههای محدود که UDP در آنها مسدود است)، احراز هویت مبتنی بر TLS از طریق گواهینامه، و احراز هویت پلاگینپذیر PAM/RADIUS. ابزارسازی بالغ، اسکریپتنویسی آسان، ممیزی آسان، مشکلات عملیاتی مستندشده.
مقایسه کنار هم
| ویژگی | WireGuard | OpenVPN |
|---|---|---|
| اندازه کد | ~۴٬۰۰۰ خط | ~۷۰٬۰۰۰ خط + OpenSSL |
| توان عملیاتی روی لینک 1 Gbps | ~۹۵٪ نرخ خط (~940 Mbps) | ~۵۰ تا ۷۰٪ نرخ خط (500–700 Mbps) |
| زمان دستدادن | ~1 RTT | ~6 RTT |
| پورت UDP پیشفرض | 51820 | 1194 |
| بازگشتی TCP | خیر (از udp2raw یا wstunnel استفاده کنید) | بله، بومی |
| چابکی رمزنگاری | هیچ (مجموعه ثابت) | کامل |
| تأثیر بر باتری موبایل | کم (هسته + دوستانه برای رومینگ) | متوسط |
| مبهمسازی | خارجی (udp2raw، awg) | obfsproxy، stunnel، tls-crypt-v2 |
| سطح ممیزی | کوچک، تأیید شده رسمی | بزرگ، بررسیشده به خوبی |
| بلوغ عملیاتی | قوی از ۲۰۲۱ | قوی از ~۲۰۰۸ |
اعداد توان عملیاتی، توضیح داده شده
روی یک VPS $10 با یک vCPU و یک لینک مشترک 1 Gbps، WireGuard لینک را تا زمانی که به شکلدهنده پهنای باند هاست یا گلوگاه CPU پشته شبکه فضای کاربر برسید اشباع میکند — معمولاً 800 تا 940 Mbps در سال ۲۰۲۶. OpenVPN روی همان سختافزار به دلیل سربار TLS و هزینه سوئیچ متن فضای کاربر، حدود 500 تا 650 Mbps به سقف میرسد. برای یک خانوار که 4K استریم میکند، هر دو کافی هستند. برای یک توسعهدهنده که ایمیجهای کانتینر چندگیگابایتی را از طریق تونل میکشد، WireGuard زمان واقعی صرفهجویی میکند.
وقتی OpenVPN هنوز انتخاب درستی است
شبکههای محدود که UDP را مسدود میکنند
شبکههای هتل، دانشگاه و شرکتی که ترافیک UDP را میاندازند WireGuard را بهطور کامل میشکنند. OpenVPN روی TCP/443 در لایه L4 از HTTPS قابل تشخیص نیست و از آن عبور میکند. WireGuard را میتوان از طریق udp2raw یا wstunnel از روی TCP تونل کرد، اما این یک قطعه متحرک دیگر است و برخی از سادگی WireGuard را از بین میبرد.
نیاز به مبهمسازی سنگین
اگر به حفاظت در برابر بررسی فعال در کشوری با بلاککردن VPN مبتنی بر بازرسی عمیق بسته — فایروال بزرگ چین، ایران، اجرای اخیر روسیه علیه پروتکلهای عمده VPN — نیاز دارید، OpenVPN با stunnel یا obfs4 سابقه طولانیتری دارد. راهحل WireGuard (AmneziaWG که فعالترین فورک مبهمشده است) کار میکند اما اکوسیستم جوانتری دارد.
احراز هویت دقیق به ازای هر کاربر
اگر یک VPN برای یک تیم کوچک اجرا میکنید و نیاز به لغو دسترسی افراد دارید، مدل PKI OpenVPN (هر کاربر یک گواهینامه دریافت میکند، ابطال از طریق CRL) از رویکرد «فایل پیکربندی را ویرایش کنید و دوباره بارگذاری کنید» WireGuard ارگونومیکتر است.
وقتی WireGuard انتخاب درستی است
برای تقریباً همه چیز دیگر: VPN شخصی، VPN خانوادگی، VPN موبایل با سوئیچ شبکه مکرر، تونلهای حساس به عملکرد، دستگاههای کممصرف، و هر تنظیمی که در آن سادگی ریسک عملیاتی را کاهش میدهد. پیکربندی ۴ خطی به این معناست که سطح اشتباه پیکربندی ناچیز است — یک علت رایج نشت حریم خصوصی در OpenVPN این است که مردم فشردهسازی را روشن نگه میدارند (CRIME) یا از رمزنگاری قدیمی استفاده میکنند چون پیکربندی ترسناک است.
کلاینتهای موبایل
رفتار رومینگ WireGuard — برقراری مجدد خاموش تونل وقتی شبکه زیرین تغییر میکند — بهطور چشمگیری نرمتر از OpenVPN است که در آن اتصال مجدد اغلب اپها را قطع میکند. در موبایل، تفاوت تأثیر باتری نیز واقعی است: کارایی سطح هسته WireGuard درصدهای قابل اندازهگیری از باتری روزانه یک گوشی با VPN همیشه روشن را صرفهجویی میکند.
مشکلات تنظیمی که مردم را گرفتار میکنند
گیرهکردن MTU
هر دو پروتکل سربار به هر بسته اضافه میکنند (حدود ۶۰ بایت برای WireGuard، بیشتر برای OpenVPN). اگر MTU شبکه زیرین 1500 باشد و MTU داخلی در 1500 بماند، بستههای بزرگ تکهتکه میشوند یا انداخته میشوند — علامت «چیزهای کوچک کار میکنند، انتقالهای بزرگ متوقف میشوند» است. درمان روی سرور VPS: iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu. WireGuard تا حدی خودتنظیم است اما سناریوهای TCP-over-UDP-over-TCP هنوز میتوانند مشکل ایجاد کنند.
سوءاستفاده از پورت ۲۵ و مشکل شهرت اسپم
اکثر هاستهای معتبر TCP/25 خروجی (SMTP) را بهطور پیشفرض مسدود میکنند — بدون آن، یک VPS به خطر افتاده ظرف ساعاتی به یک رله اسپم تبدیل میشود. تا سال ۲۰۲۶، عملاً هر ارائهدهنده VPS برونمرزی پورت ۲۵ را روی IPهای مشترک مسدود میکند. سعی نکنید دور آن بزنید؛ اگر واقعاً به SMTP نیاز دارید، یک IP با شهرت ثابت درخواست کنید و ورودی طولانیتر را بپذیرید. نقطه پایانی VPN خود را روی IP پیشفرض و سرور ایمیل خود را جای دیگری اجرا کنید.
شهرت ASN
ASNهای دیتاسنتر بهتدریج فشار کپچای بیشتری از Cloudflare، Google و اکثر سیستمهای ضد تقلب دریافت میکنند. ASNهای دیتاسنتر برونمرزی بوتیک (محدودههای IP کوچک/متوسط در Iceland، Moldova، Panama) اغلب شهرت تمیزتری نسبت به ASNهای ابر مصرفکننده غولپیکر دارند. هاست را بر این اساس انتخاب کنید. برای اطلاعات بیشتر، مورد استفاده هاستینگ VPN را ببینید.
Killswitch — PostUp/PostDown
یک killswitch تضمین میکند که اگر تونل VPN قطع شود، دستگاه به جای نشت دور آن، ارسال ترافیک را متوقف کند. WireGuard این را با هوکهای PostUp/PreDown در پیکربندی بهخوبی پیادهسازی میکند — الگوی کانونی PostUp = iptables -I OUTPUT ! -o %i -m mark ! --mark $(wg show %i fwmark) -m addrtype ! --dst-type LOCAL -j REJECT است. معادل OpenVPN اسکریپتهای --route-up و --down-pre هستند. killswitch را با خاموش کردن دستی فرآیند VPN و مشاهده اینکه آیا ترافیک هنوز جاری است آزمایش کنید؛ اگر بله، killswitch فعال نیست.
نشت DNS
هر دو پروتکل ترافیک IP حمل میکنند؛ هیچکدام بهطور خودکار DNS را از طریق تونل روت نمیکنند. کلاینت VPN را پیکربندی کنید تا یک سرور DNS که فقط از طریق تونل قابل دسترس است فشار دهد (اغلب خود VPS که unbound یا dnscrypt-proxy اجرا میکند). در Linux، یکپارچهسازی resolvconf را نصب کنید یا از systemd-resolved با scope مناسب استفاده کنید. پس از هر بهروزرسانی عمده OS یا کلاینت با dnsleaktest.com تست کنید.
نشت IPv6
اگر کلاینت شما IPv6 دارد و VPN فقط IPv4 حمل میکند، ترافیک IPv6 تونل را دور میزند و IP واقعی شما را فاش میکند. یا IPv6 را در سطح دستگاه غیرفعال کنید، یا پیکربندی VPN را برای مدیریت IPv6 درون تونل گسترش دهید. WireGuard از تونلهای dual-stack بهطور تمیز پشتیبانی میکند؛ OpenVPN هم با پیکربندی سرور مناسب این کار را انجام میدهد.
انتخاب VPS مناسب برای کار
برای یک VPN خود-میزبان شخصی یا خانوادگی، کف مشخصات پایین است: 1 GB RAM، 1 vCPU، 20 GB دیسک، و ظرفیت شبکه کافی برای مطابقت با سرعت تونلی که میخواهید. WireGuard بهندرت CPU مصرف میکند؛ OpenVPN اگر بیش از 500+ Mbps هل میدهید از یک هسته اضافه بهره میبرد. ابتدا با استفاده از راهنمای حوزه قضایی کشور را انتخاب کنید، سپس جعبه را اندازهگیری کنید. پلنهای VPS را مرور کنید برای گزینههای ورودی کمتر از $10 در ماه در هفت حوزه قضایی، و مورد استفاده هاستینگ VPN را برای یادداشتهای مخصوص تنظیم بخوانید.
بهداشت عملیاتی
- هر ۶ تا ۱۲ ماه جعبه را بچرخانید. IPهای دیتاسنتر بار اضافی جمع میکنند. یک VPS تازه با یک IP تازه $9 است و ۱۰ دقیقه طول میکشد — ارزانتر از جنگ با کپچا.
- SSH رمز عبور را غیرفعال کنید. فقط کلید، fail2ban یا sshguard، اختیاری یک پورت غیر از ۲۲ برای کاهش نویز لاگ.
- unattended-upgrades را اجرا کنید. یک هاست VPN که یک سال از بهروزرسانیهای وصله هسته عقب مانده از نداشتن VPN خطرناکتر است.
- ترافیک را نظارت کنید، نه محتوا را. یک نصب ساده
vnstatبه شما میگوید وقتی چیزی اشتباه است — اشباع ناگهانی آپلینک معمولاً به معنای سوءاستفاده از جعبه است. - با کریپتو پرداخت کنید، بدون KYC در ثبتنام. راهنمای پرداخت کریپتو آنچه هاست با هر انتخاب سکه درباره شما یاد میگیرد را پوشش میدهد.