VPN · sin KYC
Aloja WireGuard en un VPS offshore
Ejecuta tu propia VPN WireGuard en una instancia offshore de ChainVPS y obtén un túnel cifrado rápido y moderno que no responde ante nadie más que tú.
Qué es
WireGuard es un protocolo VPN ligero y de alto rendimiento integrado en el kernel de Linux que establece túneles cifrados punto a punto mediante criptografía moderna (Curve25519, ChaCha20, Poly1305). Alojarlo tú mismo en un VPS convierte ese servidor en un nodo de salida VPN personal que controlas por completo, enrutando tu tráfico a través de la IP del servidor en lugar de la de un proveedor comercial compartido.
Por qué alojarlo offshore
Una VPN autoalojada es tan privada como el servidor en el que se ejecuta, por lo que un hosting sin KYC y pagado con criptomonedas, en una jurisdicción favorable a la privacidad, elimina el rastro de identidad que las VPN comerciales y las nubes convencionales guardan en sus archivos. El ancho de banda ilimitado de ChainVPS y sus ubicaciones de nivel privacidad (NL/CH/RO/IS/MD/LU) permiten que el túnel curse tráfico real sin sorpresas de medición ni un rastro documental que vincule la IP de salida contigo.
El despliegue
Una configuración de referencia funcional
Copia esto en una nueva instancia de ChainVPS. Sustituye los marcadores de posición y ponlo en marcha.
# wg-easy: WireGuard + web admin UI. Docker + compose plugin required.
# 1) Generate a bcrypt admin password hash first:
# docker run --rm ghcr.io/wg-easy/wg-easy:14 wgpw 'ChooseAStrongPassword'
# -> copy the PASSWORD_HASH value into the file below.
# NOTE: in docker-compose, every '$' in the hash MUST be doubled to '$$'.
# 2) Replace WG_HOST with your server's public IP (or a DNS name pointing to it).
# 3) docker compose up -d then open http://SERVER_IP:51821
services:
wg-easy:
image: ghcr.io/wg-easy/wg-easy:14
container_name: wg-easy
restart: unless-stopped
environment:
- WG_HOST=YOUR.SERVER.PUBLIC.IP
- PASSWORD_HASH=$$2a$$12$$REPLACE_WITH_YOUR_BCRYPT_HASH
- WG_PORT=51820
- WG_DEFAULT_DNS=1.1.1.1
- WG_DEFAULT_ADDRESS=10.8.0.x
- WG_ALLOWED_IPS=0.0.0.0/0, ::/0
volumes:
- ./wg-data:/etc/wireguard
ports:
- "51820:51820/udp" # WireGuard tunnel
- "51821:51821/tcp" # Web admin UI
cap_add:
- NET_ADMIN
- SYS_MODULE
sysctls:
- net.ipv4.ip_forward=1
- net.ipv4.conf.all.src_valid_mark=1
Firewall
Puertos que debes abrir
| Puerto | Protocolo | Propósito |
|---|---|---|
| 51820 | UDP | Túnel WireGuard (plano de datos): debe estar abierto a internet |
| 51821 | TCP | Interfaz web de administración de wg-easy: mantenla protegida por firewall y accede a ella mediante un túnel SSH o un proxy inverso con autenticación |
Dimensionamiento adecuado
Qué plan necesitas
VPS Nano / Small (1 vCPU, 1-2 GB de RAM)
1-3 dispositivos personales, navegación general y cambio de geolocalización. WireGuard es tan rápido como el kernel; la CPU rara vez es el límite en este nivel.
VPS Pro (2-4 vCPU, 4-8 GB de RAM)
Un hogar o un equipo pequeño, 10-25 peers, streaming/descargas constantes. Aquí el ancho de banda ilimitado importa más que los núcleos.
Dedicado (o un VPS de gama alta con núcleos dedicados)
Más de 50 peers, rendimiento que satura el gigabit o una puerta de enlace sitio a sitio. Una CPU dedicada evita el jitter por vecinos ruidosos en la ruta de cifrado.
Mejores ubicaciones: Elige una ubicación de nivel privacidad de ChainVPS para tu salida VPN: Suiza (CH), Islandia (IS) y Países Bajos (NL) ofrecen regímenes sólidos de protección de datos y buen tránsito europeo, mientras que Rumanía (RO), Moldavia (MD) y Luxemburgo (LU) completan el abanico de jurisdicciones al margen de la presión habitual de intercambio de vigilancia. Elige la más cercana físicamente a donde realmente navegas para minimizar la latencia del túnel, ya que cada paquete hace el viaje de ida y vuelta a través de la salida.
Blíndalo
Lista de verificación de hardening
- Nunca expongas la interfaz web de wg-easy (51821) a internet: vincúlala a localhost y accede a ella mediante 'ssh -L 51821:localhost:51821 user@server', o colócala detrás de un proxy inverso con TLS y autenticación HTTP. Solo el puerto 51820/udp debe ser accesible públicamente.
- Protege el servidor con un firewall real: 'ufw default deny incoming', permite solo tu puerto SSH y 51820/udp, y deja que el reenvío de Docker se encargue del resto. Confirma que net.ipv4.ip_forward=1 persiste tras cada reinicio.
- Fija la imagen a una etiqueta específica (por ejemplo, :14) en lugar de :latest, para que un cambio en origen no altere el comportamiento sin avisar, y reconstruye de forma deliberada tras revisar las notas de la versión. Guarda el directorio ./wg-data con configuraciones en 0600: contiene las claves privadas de cada peer.
- Refuerza SSH antes que nada: autenticación solo por clave, desactiva el inicio de sesión con contraseña y como root, y cambia o protege el puerto. La privacidad de la VPN está limitada por quien pueda iniciar sesión en el servidor.
- Configura WG_DEFAULT_DNS con un resolver de confianza (o ejecuta el tuyo propio en el servidor) para que los clientes no filtren DNS fuera del túnel, y verifícalo con una prueba de fuga de IP/DNS tras conectarte. Rota o revoca las configuraciones de los peers desde la interfaz cuando se pierda un dispositivo.
Despliégalo en
El producto ChainVPS adecuado
Preguntas
Hosting WireGuard — Preguntas frecuentes
¿Es una VPN WireGuard autoalojada más privada que una VPN comercial?
Cambias una IP de salida compartida por control exclusivo. Una VPN comercial te mezcla con miles de usuarios, pero debes confiar en su promesa de no guardar registros; un endpoint autoalojado en un VPS sin KYC significa que ningún tercero conserva tu identidad de cuenta ni tus logs, aunque la IP de salida sea solo tuya. Combinarlo con pago en criptomonedas y una ubicación de nivel privacidad elimina por completo el rastro de identidad.
¿Necesito la interfaz web, o puedo usar WireGuard sin más?
La imagen wg-easy anterior es el camino más rápido, ya que genera por ti las configuraciones de los peers y los códigos QR. Si prefieres no tener ninguna superficie web, instala el paquete 'wireguard' directamente en Ubuntu 24.04 y gestiona /etc/wireguard/wg0.conf a mano: el mismo módulo del kernel, solo que con gestión manual de claves y peers.
¿El ancho de banda ilimitado realmente cubre un uso intensivo de la VPN?
Sí: los planes VPS de ChainVPS incluyen ancho de banda ilimitado, que es exactamente lo que necesita una VPN, ya que cada byte que navegas, transmites o descargas pasa dos veces por el túnel. No hay cargos por exceso de gigabytes de los que preocuparte.
¿Por qué el puerto UDP 51820 es el único que debo abrir públicamente?
El plano de datos de WireGuard funciona por completo a través de ese único puerto UDP. El puerto de administración web (51821/tcp) es solo para gestión y debe permanecer protegido por firewall y accederse mediante un túnel SSH, de modo que la superficie de ataque pública se reduce a un único listener UDP que descarta silenciosamente los paquetes no autenticados.
¿Puedo usar esto para varios dispositivos y miembros de la familia?
Sí. Cada dispositivo obtiene su propia configuración de peer desde la interfaz, y un plan de clase VPS Pro gestiona sin problemas un hogar con 10-25 peers. Escala a un plan Dedicado solo cuando necesites saturar un enlace de gigabit o ejecutar una puerta de enlace sitio a sitio.
¿Importa la protección contra DDoS para un endpoint VPN?
Ayuda: el puerto UDP público de una VPN puede atraer inundaciones volumétricas, y ChainVPS incluye mitigación de DDoS para que una ráfaga de tráfico basura no deje tu túnel fuera de servicio. No detendrá a un atacante que ya tenga claves de peer válidas, así que mantén esas claves bajo estricto control.
Más para autoalojar
Otros stacks de un clic
Desplegar WireGuard
en los próximos 60 segundos.
Ancho de banda ilimitado · DDoS incluido · 21 criptomonedas · sin KYC.