Как настроить WireGuard VPN на VPS

Зачем запускать собственный WireGuard VPN

Используя коммерческий VPN, вы вынуждены доверять компании, которую не можете проверить. Вы платите им, пропускаете весь свой трафик через их серверы и верите на слово, что они не ведут логов. Самостоятельный VPN переворачивает эту схему: вы арендуете сервер, сами устанавливаете VPN — и единственный, кто видит ваш трафик, это вы. Никакого посредника, который мог бы его записывать, продавать или передавать по запросу властей.

WireGuard делает это решение по-настоящему практичным. Это современный VPN-протокол — компактный, быстрый и простой: несколько тысяч строк кода вместо сотен тысяч в устаревших стеках, что упрощает его аудит и делает некорректную настройку практически невозможной. На скромном VPS он насытит канал при минимальной нагрузке на CPU. В сочетании с офшорным VPS без KYC самостоятельный туннель WireGuard даёт вам приватную точку выхода, принадлежащую только вам — именно её мы и построим в этом руководстве, с нуля.

Что вам понадобится

Вся настройка займёт один сервер и около пятнадцати минут:

• VPS. Достаточно самого скромного тарифа — WireGuard крайне нетребователен к ресурсам. Выберите юрисдикцию, из которой хотите «выходить» в интернет. VPS от ServPrivacy от $7.50/мес. с полным root-доступом более чем подходит.
• Свежая установка Linux. Подойдёт любой современный Debian или Ubuntu; приведённые ниже команды рассчитаны на них. Другие дистрибутивы отличаются лишь шагом установки пакета.
• Root или sudo и несколько минут работы в командной строке.

Домен, панель управления и сторонний VPN-клиент не нужны. WireGuard встроен непосредственно в современное ядро Linux.

Шаг 1 — Установка WireGuard на сервере

Подключитесь к VPS по SSH и установите инструменты WireGuard. На Debian или Ubuntu для этого достаточно одной команды: apt update && apt install -y wireguard. Модуль ядра уже присутствует в любом современном ядре, поэтому устанавливаются только утилиты пользовательского пространства — wg и wg-quick — с помощью которых вы управляете туннелями.

На этом установка завершена. Никаких отдельных демонов для настройки, никаких учётных записей и ничего лишнего, что требовало бы обновлений помимо стандартных системных.

Шаг 2 — Генерация ключей и создание конфигурации сервера

WireGuard аутентифицирует узлы с помощью криптографии с открытым ключом, поэтому первым делом нужно создать пару ключей для сервера. Сгенерируйте её командой wg genkey | tee server_private.key | wg pubkey > server_public.key. Приватный ключ остаётся на сервере и никому не передаётся; публичный ключ будет передан каждому клиенту.

Далее создайте конфигурацию туннеля по пути /etc/wireguard/wg0.conf. Серверная секция определяет диапазон приватных адресов туннеля, порт прослушивания WireGuard (по умолчанию 51820) и приватный ключ сервера. Каждое подключаемое устройство добавляется как блок [Peer], содержащий публичный ключ клиента и его адрес внутри туннеля. Ограничьте доступ к файлу только для root — он содержит приватный ключ сервера.

Конфигурация намеренно лаконична. Рабочий конфиг сервера занимает менее двадцати строк — именно поэтому допустить серьёзную ошибку в настройке WireGuard крайне сложно.

Шаг 3 — Включение форвардинга и открытие порта

Чтобы VPN маршрутизировал ваш трафик в интернет, сервер должен пересылать пакеты. Включите форвардинг IP, задав net.ipv4.ip_forward=1 в /etc/sysctl.conf и применив изменения командой sysctl -p. В конфигурацию туннеля также необходимо добавить правило файрвола, которое маскирует исходящий трафик так, чтобы он уходил с адреса самого сервера — это обычно делается строкой PostUp в wg0.conf, чтобы правило применялось автоматически при поднятии туннеля.

Затем убедитесь, что порт WireGuard доступен извне. Если на VPS работает файрвол, разрешите UDP на выбранном порту (по умолчанию 51820). WireGuard использует исключительно UDP — и, что удобно с точки зрения приватности, не отвечает на нежелательные пакеты, поэтому сканирование портов не может даже подтвердить наличие сервиса.

Поднимите туннель командой wg-quick up wg0 и включите его автозапуск при загрузке с помощью systemctl enable [redacted-user]@[redacted-host]. Серверная часть готова.

Шаг 4 — Добавление клиента и подключение

Каждому устройству, которое будет использовать VPN — ноутбуку, телефону — нужна собственная пара ключей и небольшой клиентский конфиг. Сгенерируйте пару ключей для клиента точно так же, как для сервера, затем создайте клиентский конфиг, содержащий приватный ключ клиента, его адрес в туннеле, публичный ключ сервера, публичный IP и порт сервера в качестве Endpoint, а также AllowedIPs со значением [redacted-ip]/0, чтобы весь трафик шёл через туннель.

Добавьте соответствующий блок [Peer] — с публичным ключом клиента — в файл wg0.conf на сервере и перезагрузите конфигурацию. На клиенте установите приложение WireGuard (оно доступно для всех настольных и мобильных платформ), импортируйте конфиг — большинство приложений принимают QR-код, что удобнее всего для телефонов — и включите туннель. Уже через секунду трафик вашего устройства будет выходить через ваш VPS. Убедитесь в этом, проверив публичный IP-адрес: теперь он должен совпадать с адресом сервера.

Шаг 5 — Укрепление безопасности и обслуживание

Рабочий туннель — это уже почти всё; несколько финальных штрихов сделают его надёжным:

• Защитите SSH. Используйте вход по ключу, отключите парольную аутентификацию и подумайте о переносе SSH с порта 22. VPN настолько приватен, насколько приватен сам сервер, на котором он работает.
• Регулярно обновляйте систему. WireGuard сам по себе требует минимум внимания, но базовая ОС должна получать обновления безопасности — включите автоматические обновления.
• Одна пара ключей на устройство. Никогда не используйте один клиентский конфиг на нескольких устройствах. При потере устройства достаточно удалить только его блок peer, не перевыпуская всё остальное.
• Задайте DNS в клиентском конфиге. Укажите в качестве резолвера сервис, уважающий приватность, чтобы DNS-запросы тоже шли через туннель, а не утекали в локальную сеть.
• Доверяйте настройкам логирования по умолчанию. WireGuard не хранит ничего о трафике, который он переносит; о проходящих данных просто не ведётся никаких записей, так что отключать нечего.

При таком подходе сервер почти не требует постоянного внимания — WireGuard близок к режиму «настроил и забыл».

Когда самостоятельный VPN — правильный выбор

Самостоятельный WireGuard VPN — правильный выбор, когда вам нужна приватная точка выхода, подотчётная только вам: для защиты соединения в ненадёжных сетях, чтобы скрыть свою активность от провайдера или выйти в интернет из нужной юрисдикции. Поскольку это ваш сервер, IP-адрес не делится с тысячами незнакомцев и не нужно принимать на веру политику отсутствия логов какого-либо провайдера.

Важно честно сказать об одном ограничении: VPN на одном сервере обеспечивает приватность от вашего провайдера и от посещаемых сайтов, однако VPS-провайдер теоретически может наблюдать трафик на точке выхода. Именно поэтому выбор хостинга так важен — офшорный VPS без KYC и без логов означает, что сама точка выхода находится у провайдера, который не собирал никаких персональных данных и не ведёт никаких записей. Самостоятельный WireGuard в сочетании с правильным VPS — для большинства людей это наиболее честная схема обеспечения приватности: никакого слепого доверия, только инфраструктура под вашим контролем.