Alle Systeme betriebsbereit 21 akzeptierte Kryptowährungen · Monero willkommen KYC-freie Richtlinie
ChainVPS

VPN · kein KYC

WireGuard hosten auf einem Offshore-VPS

Betreiben Sie Ihr eigenes WireGuard-VPN auf einer Offshore-ChainVPS-Instanz und erhalten Sie einen schnellen, modernen verschlüsselten Tunnel, der niemandem außer Ihnen Rechenschaft schuldet.

Was es ist

WireGuard ist ein schlankes, hochperformantes VPN-Protokoll, das direkt in den Linux-Kernel integriert ist und mit moderner Kryptografie (Curve25519, ChaCha20, Poly1305) verschlüsselte Punkt-zu-Punkt-Tunnel aufbaut. Wer es selbst auf einem VPS hostet, verwandelt diesen Server in einen persönlichen VPN-Exit-Knoten unter vollständiger eigener Kontrolle und leitet den eigenen Traffic über die IP des Servers statt über einen geteilten kommerziellen Anbieter.

Warum offshore hosten

Ein selbst gehostetes VPN ist immer nur so privat wie der Server, auf dem es läuft - ein No-KYC-Host mit Kryptozahlung in einer datenschutzfreundlichen Jurisdiktion beseitigt daher die Identitätsspur, die kommerzielle VPNs und Mainstream-Clouds in ihren Akten führen. Das ungedrosselte Bandbreitenkontingent von ChainVPS und die Privacy-Tier-Standorte (NL/CH/RO/IS/MD/LU) lassen den Tunnel echten Traffic tragen - ohne Überraschungen bei der Abrechnung und ohne Papierspur, die die Exit-IP mit Ihnen verknüpft.

Das Deployment

Ein funktionierendes Referenz-Setup

Kopieren Sie dies auf eine neue ChainVPS-Instanz. Ersetzen Sie die Platzhalter und starten Sie sie anschließend.

docker-compose.yml
# wg-easy: WireGuard + web admin UI. Docker + compose plugin required.
# 1) Generate a bcrypt admin password hash first:
#    docker run --rm ghcr.io/wg-easy/wg-easy:14 wgpw 'ChooseAStrongPassword'
#    -> copy the PASSWORD_HASH value into the file below.
#    NOTE: in docker-compose, every '$' in the hash MUST be doubled to '$$'.
# 2) Replace WG_HOST with your server's public IP (or a DNS name pointing to it).
# 3) docker compose up -d   then open http://SERVER_IP:51821

services:
  wg-easy:
    image: ghcr.io/wg-easy/wg-easy:14
    container_name: wg-easy
    restart: unless-stopped
    environment:
      - WG_HOST=YOUR.SERVER.PUBLIC.IP
      - PASSWORD_HASH=$$2a$$12$$REPLACE_WITH_YOUR_BCRYPT_HASH
      - WG_PORT=51820
      - WG_DEFAULT_DNS=1.1.1.1
      - WG_DEFAULT_ADDRESS=10.8.0.x
      - WG_ALLOWED_IPS=0.0.0.0/0, ::/0
    volumes:
      - ./wg-data:/etc/wireguard
    ports:
      - "51820:51820/udp"   # WireGuard tunnel
      - "51821:51821/tcp"   # Web admin UI
    cap_add:
      - NET_ADMIN
      - SYS_MODULE
    sysctls:
      - net.ipv4.ip_forward=1
      - net.ipv4.conf.all.src_valid_mark=1

Firewall

Zu öffnende Ports

PortProtokollZweck
51820UDPWireGuard-Tunnel (Datenebene) - muss für das Internet erreichbar sein
51821TCPwg-easy Web-Admin-Oberfläche - per Firewall abschotten, Zugriff über SSH-Tunnel oder einen Reverse-Proxy mit Authentifizierung

Richtige Dimensionierung

Welchen Plan Sie brauchen

Leicht

VPS Nano / Small (1 vCPU, 1-2 GB RAM)

1-3 persönliche Geräte, allgemeines Surfen und Geo-Shifting. WireGuard ist kernel-schnell; die CPU ist auf dieser Stufe selten der limitierende Faktor.

Mittel

VPS Pro (2-4 vCPU, 4-8 GB RAM)

Ein Haushalt oder ein kleines Team, 10-25 Peers, durchgehendes Streaming/Downloads. Hier zählt ungedrosselte Bandbreite mehr als die Anzahl der Kerne.

Intensiv

Dedicated (oder Top-VPS mit dedizierten Kernen)

50+ Peers, Gigabit-sättigender Durchsatz oder ein Site-to-Site-Gateway. Eine dedizierte CPU vermeidet Noisy-Neighbor-Jitter auf dem Verschlüsselungspfad.

Beste Standorte: Wählen Sie für Ihren VPN-Exit einen Privacy-Tier-Standort von ChainVPS: Die Schweiz (CH), Island (IS) und die Niederlande (NL) bieten starke Datenschutzregime und eine gute europäische Anbindung, während Rumänien (RO), Moldau (MD) und Luxemburg (LU) das Angebot um Jurisdiktionen abrunden, die außerhalb des üblichen Überwachungs-Kooperationsdrucks liegen. Wählen Sie den Standort, der geografisch am nächsten an Ihrem tatsächlichen Surfstandort liegt, um die Tunnel-Latenz zu minimieren, da jedes Paket über den Exit hin- und zurückläuft.

Sichern Sie es ab

Hardening-Checkliste

  • Legen Sie die wg-easy Web-Oberfläche (51821) niemals offen ins Internet - binden Sie sie an localhost und erreichen Sie sie über 'ssh -L 51821:localhost:51821 user@server', oder stellen Sie sie hinter einen Reverse-Proxy mit TLS und HTTP-Auth. Nur 51820/udp sollte öffentlich erreichbar sein.
  • Schützen Sie den Server mit einer echten Firewall: 'ufw default deny incoming', erlauben Sie nur Ihren SSH-Port und 51820/udp, und überlassen Sie den Rest dem Forwarding von Docker. Stellen Sie sicher, dass net.ipv4.ip_forward=1 auch nach Neustarts bestehen bleibt.
  • Fixieren Sie das Image auf einen konkreten Tag (z. B. :14) statt :latest, damit eine Upstream-Änderung das Verhalten nicht unbemerkt verändern kann, und aktualisieren Sie bewusst erst nach Prüfung der Release Notes. Speichern Sie das Verzeichnis ./wg-data mit Konfigurationsdateien im Modus 0600 - es enthält die privaten Schlüssel jedes Peers.
  • Härten Sie zuallererst SSH: nur Schlüssel-Authentifizierung, Passwort- und Root-Login deaktivieren und den Port ändern oder schützen. Die Privatsphäre des VPN ist immer nur so gut wie der Schutz vor jedem, der sich auf dem Host anmelden kann.
  • Setzen Sie WG_DEFAULT_DNS auf einen Resolver, dem Sie vertrauen (oder betreiben Sie einen eigenen auf dem Server), damit Clients kein DNS außerhalb des Tunnels leaken, und prüfen Sie dies nach dem Verbinden mit einem IP/DNS-Leak-Test. Rotieren oder widerrufen Sie Peer-Konfigurationen über die Oberfläche, wenn ein Gerät verloren geht.

Fragen

Hosting WireGuard — FAQ

Ist ein selbst gehostetes WireGuard-VPN privater als ein kommerzielles VPN?

Es tauscht eine geteilte Exit-IP gegen exklusive Kontrolle. Ein kommerzielles VPN vermischt Sie mit Tausenden anderer Nutzer, aber Sie müssen dem No-Logs-Versprechen des Anbieters vertrauen; ein selbst gehosteter Endpunkt auf einem No-KYC-VPS bedeutet, dass kein Dritter Ihre Kontoidentität oder Logs verwaltet, auch wenn die Exit-IP dann exklusiv Ihnen gehört. In Kombination mit Kryptozahlung und einem Privacy-Tier-Standort verschwindet die Identitätsspur vollständig.

Brauche ich die Web-Oberfläche, oder kann ich reines WireGuard betreiben?

Das oben gezeigte wg-easy-Image ist der schnellste Weg, da es Peer-Konfigurationen und QR-Codes automatisch für Sie erzeugt. Wenn Sie überhaupt keine Web-Oberfläche möchten, installieren Sie das Paket 'wireguard' direkt auf Ubuntu 24.04 und verwalten Sie /etc/wireguard/wg0.conf von Hand - dasselbe Kernel-Modul, nur mit manueller Schlüssel- und Peer-Verwaltung.

Deckt ungedrosselte Bandbreite wirklich intensive VPN-Nutzung ab?

Ja - die VPS-Pläne von ChainVPS beinhalten ungedrosselte Bandbreite, genau das, was ein VPN braucht, da jedes Byte, das Sie surfen, streamen oder herunterladen, den Tunnel zweimal durchläuft. Zusätzliche Gebühren pro Gigabyte müssen Sie sich keine Sorgen machen.

Warum sollte UDP 51820 der einzige öffentlich geöffnete Port sein?

Die Datenebene von WireGuard läuft vollständig über diesen einen UDP-Port. Der Web-Admin-Port (51821/tcp) dient nur der Verwaltung und sollte per Firewall abgeschottet und über einen SSH-Tunnel erreicht werden - so besteht die öffentliche Angriffsfläche nur aus einem einzigen UDP-Listener, der nicht authentifizierte Pakete stillschweigend verwirft.

Kann ich das für mehrere Geräte und Familienmitglieder nutzen?

Ja. Jedes Gerät erhält über die Oberfläche seine eigene Peer-Konfiguration, und ein Plan der VPS-Pro-Klasse bewältigt einen Haushalt mit 10-25 Peers problemlos. Wechseln Sie erst dann zu einem Dedicated-Plan, wenn Sie eine Gigabit-Leitung auslasten oder ein Site-to-Site-Gateway betreiben müssen.

Spielt DDoS-Schutz für einen VPN-Endpunkt eine Rolle?

Ja, er hilft - der öffentliche UDP-Port eines VPN kann volumetrische Fluten anziehen, und ChainVPS beinhaltet DDoS-Mitigation, damit ein Schwall Junk-Traffic Ihren Tunnel nicht offline zwingt. Gegen einen Angreifer, der bereits gültige Peer-Schlüssel besitzt, hilft das nicht - halten Sie diese Schlüssel daher streng unter Kontrolle.

Bereitstellen WireGuard
in den nächsten 60 Sekunden.

Unlimitierte Bandbreite · DDoS inklusive · 21 Kryptowährungen · Kein KYC.