Privacidad · sin KYC
Aloja Repetidor Tor en un VPS offshore
Ejecuta un repetidor Tor no exit con ancho de banda offshore no medido y fortalece la red de la que millones dependen para un acceso privado y sin censura.
Qué es
Un repetidor Tor es un nodo gestionado por voluntarios que reenvía tráfico cifrado a través de la red Tor, añadiendo capacidad y diversidad para que el sistema de privacidad se mantenga rápido y resiliente. Un repetidor intermedio/guardián (no exit) nunca se conecta a los sitios web de destino en tu nombre, por lo que tu IP nunca es la fuente visible del tráfico de nadie.
Por qué alojarlo offshore
Los repetidores Tor viven o mueren según el ancho de banda, y los hosts con medición te limitan o te facturan hasta el infinito en cuanto el repetidor se pone activo. ChainVPS te ofrece transferencia realmente no medida, filtrado DDoS y registro con cripto/sin KYC, para que puedas ejecutar un repetidor de alto peso de consenso en una jurisdicción favorable a la privacidad, sin sorpresas en la factura ni rastro de identidad.
El despliegue
Una configuración de referencia funcional
Copia esto en una nueva instancia de ChainVPS. Sustituye los marcadores de posición y ponlo en marcha.
#!/usr/bin/env bash
# Non-exit Tor relay on Ubuntu 24.04 (Noble). Run as root or with sudo.
set -euo pipefail
# 1) Install Tor from the official Tor Project apt repo (newer than Ubuntu's)
apt-get update
apt-get install -y apt-transport-https gpg curl lsb-release
curl -fsSL https://deb.torproject.org/torproject.org/A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89.asc \
| gpg --dearmor -o /usr/share/keyrings/tor-archive-keyring.gpg
echo "deb [signed-by=/usr/share/keyrings/tor-archive-keyring.gpg] https://deb.torproject.org/torproject.org $(lsb_release -cs) main" \
> /etc/apt/sources.list.d/tor.list
apt-get update
apt-get install -y tor deb.torproject.org-keyring nyx
# 2) Configure a NON-EXIT relay (safe default: never terminates traffic)
cat > /etc/tor/torrc <<'EOF'
Nickname chainvpsrelay
# ORPort 443 improves reachability for clients behind restrictive firewalls.
ORPort 443
ORPort [::]:443
# Non-exit relay: do NOT exit traffic to the clearnet.
ExitRelay 0
IPv6Exit 0
ExitPolicy reject *:*
# ContactInfo lets the Tor project reach you about issues. Use a role address.
ContactInfo tor-relay-ops <[email protected]>
# Optional throughput cap (bytes). Comment out to donate full unmetered link.
# RelayBandwidthRate 20 MBytes
# RelayBandwidthBurst 40 MBytes
Log notice syslog
User debian-tor
EOF
# 3) Open the firewall for the ORPort (adjust if you changed it above)
if command -v ufw >/dev/null 2>&1; then
ufw allow 443/tcp comment 'Tor ORPort'
fi
# 4) Enable and start
systemctl enable --now tor@default
sleep 5
systemctl status tor@default --no-pager || true
echo "Relay starting. Watch bootstrap + fingerprint: journalctl -u tor@default -f"
echo "Live console: nyx"
echo "Your relay fingerprint: cat /var/lib/tor/fingerprint"
Firewall
Puertos que debes abrir
| Puerto | Protocolo | Propósito |
|---|---|---|
| 443 | TCP | ORPort: tráfico entrante del repetidor (usa 9001 si el 443 ya está ocupado por un servidor web). Debe ser accesible desde internet. |
| 9001 | TCP | Alternativa convencional de ORPort por defecto si prefieres no usar el 443. |
| 9051 | TCP | Puerto de control de Tor (solo localhost) — usado por la monitorización de nyx; nunca lo expongas públicamente. |
Dimensionamiento adecuado
Qué plan necesitas
VPS Nano/Small (1 vCPU, 1-2 GB RAM)
Perfecto para un repetidor intermedio inicial que mueva hasta ~20-50 Mbit/s. Tor funciona con un solo hilo por repetidor, así que un núcleo modesto basta con carga baja.
VPS Pro (2-4 vCPU, 4-8 GB RAM)
Soporta un repetidor guardián bien conectado que sature varios cientos de Mbit/s; los núcleos adicionales te permiten ejecutar 2 instancias de tor (máximo 2 por IPv4) para aprovechar más ancho de banda.
Dedicado (multi-núcleo + 1 Gbit no medido)
Para un nodo rápido de clase guardián/exit con alto peso de consenso, o varias instancias de repetidor moviendo 1 Gbit+. El cifrado TLS depende de la CPU, así que prioriza una frecuencia de reloj más alta sobre el número de núcleos.
Mejores ubicaciones: Las ubicaciones de nivel privacidad son las que mejor se adaptan a los repetidores: Países Bajos, Rumanía, Islandia y Suiza son jurisdicciones favorables a los repetidores, con una gran capacidad de red y un historial de tolerancia al tráfico Tor. Islandia y Suiza aportan además una sólida legislación de protección de datos, mientras que NL/RO ofrecen las conexiones no medidas más amplias y económicas para maximizar el peso de consenso. Distribuye los repetidores entre distintas ubicaciones/AS para mejorar la diversidad de la red: la red Tor evita deliberadamente enrutar un circuito a través de dos repetidores dentro del mismo /16 o de la misma familia.
Blíndalo
Lista de verificación de hardening
- Empieza como repetidor NO EXIT (ExitRelay 0, ExitPolicy reject *:*). Los repetidores exit generan denuncias de abuso y exposición legal; ejecuta uno solo de forma deliberada, con el consentimiento del proveedor y una IP dedicada.
- Configura un ContactInfo honesto y, si ejecutas varios repetidores, decláralos con la opción MyFamily (indicando la huella digital de cada repetidor) para que Tor nunca encadene dos de tus nodos en un mismo circuito.
- Vincula el puerto de control solo a localhost (ControlPort 9051 + CookieAuthentication 1) y nunca abras el 9051/9030 a internet; solo el ORPort debe ser accesible públicamente.
- Mantén tor actualizado desde el repositorio apt oficial del Tor Project (no el paquete más antiguo de Ubuntu) y activa unattended-upgrades: las correcciones de seguridad del repetidor importan para toda la red.
- Ejecuta tor bajo su propio usuario sin privilegios (debian-tor, el valor por defecto del paquete), activa un firewall que solo permita el ORPort, y monitoriza el estado con nyx y la página Tor Metrics/Relay Search usando tu huella digital.
- Si limitas el rendimiento, usa RelayBandwidthRate/Burst en lugar de la cuota de accounting para que el repetidor se mantenga activo 24/7: el tiempo de actividad es lo que gana la marca Guard y un peso de consenso real.
Despliégalo en
El producto ChainVPS adecuado
Preguntas
Hosting Repetidor Tor — Preguntas frecuentes
¿Es legal ejecutar un repetidor Tor, y me puede meter en problemas?
Ejecutar un repetidor no exit (intermedio/guardián) es legal en la mayoría de las jurisdicciones y de muy bajo riesgo: tu servidor solo reenvía tráfico cifrado entre otros nodos Tor y nunca se conecta a sitios web de destino, por lo que tu IP nunca aparece como la fuente de la navegación de nadie. Las denuncias de abuso casi siempre apuntan a los repetidores exit, que esta configuración desactiva explícitamente.
¿Cuál es la diferencia entre un repetidor, un bridge y un exit?
Un repetidor intermedio/guardián reenvía tráfico dentro de la red. Un bridge es un punto de entrada no listado que ayuda a conectarse a los usuarios en regiones censuradas (para eso, ejecuta la imagen thetorproject/obfs4-bridge). Un repetidor exit es el último salto hacia la clearnet, el rol de mayor riesgo, el que atrae avisos de abuso. Esta guía despliega por defecto un repetidor no exit seguro.
¿Cuánto ancho de banda va a usar realmente?
Un repetidor guardián activo puede mover cientos de Mbit/s de forma continua en cuanto gana la confianza de la red, y precisamente por eso importa la transferencia no medida: un host con medición te facturaría o te limitaría. Puedes ponerle un límite con RelayBandwidthRate, pero dejarlo sin límite en la conexión no medida de ChainVPS maximiza tu contribución.
¿Cuánto tiempo pasa hasta que mi repetidor se use de verdad?
Los repetidores nuevos aumentan su actividad poco a poco. Tor mide tu estabilidad y velocidad durante varios días; espera tráfico significativo tras aproximadamente una semana, y la marca Guard tras unos 8 días de tiempo de actividad sólido. Mantenlo funcionando 24/7: los reinicios y las caídas reinician tu reputación.
¿Puedo ejecutar más de un repetidor en el mismo servidor?
Sí, hasta dos instancias de repetidor por dirección IPv4 pública. Asigna a cada una su propio ORPort y DataDirectory, y enumera todas sus huellas digitales bajo MyFamily para que la red nunca enrute un mismo circuito a través de dos de tus nodos. Un servidor dedicado con una conexión no medida de 1 Gbit es ideal para esto.
Más para autoalojar
Otros stacks de un clic
Desplegar Repetidor Tor
en los próximos 60 segundos.
Ancho de banda ilimitado · DDoS incluido · 21 criptomonedas · sin KYC.