VPN · sans KYC
Hébergez WireGuard sur un VPS offshore
Déployez votre propre VPN WireGuard sur une instance ChainVPS offshore et bénéficiez d'un tunnel chiffré rapide et moderne qui ne répond qu'à vous.
Ce que c'est
WireGuard est un protocole VPN léger et haute performance intégré au noyau Linux, qui établit des tunnels chiffrés point à point grâce à une cryptographie moderne (Curve25519, ChaCha20, Poly1305). L'héberger soi-même sur un VPS transforme ce serveur en un nœud de sortie VPN personnel que vous contrôlez entièrement, en faisant transiter votre trafic par l'IP du serveur plutôt que par un fournisseur commercial partagé.
Pourquoi l'héberger en offshore
Un VPN auto-hébergé n'est privé qu'à hauteur du serveur sur lequel il tourne : un hébergeur no-KYC, payable en crypto, situé dans une juridiction favorable à la vie privée, supprime la trace d'identité que les VPN commerciaux et les clouds classiques conservent dans leurs dossiers. La bande passante illimitée de ChainVPS et ses emplacements privacy-tier (NL/CH/RO/IS/MD/LU) permettent au tunnel d'écouler du trafic réel sans mauvaise surprise de comptage ni trace écrite reliant l'IP de sortie à vous.
Le déploiement
Une configuration de référence fonctionnelle
Copiez ceci sur une nouvelle instance ChainVPS. Remplacez les paramètres, puis lancez-la.
# wg-easy: WireGuard + web admin UI. Docker + compose plugin required.
# 1) Generate a bcrypt admin password hash first:
# docker run --rm ghcr.io/wg-easy/wg-easy:14 wgpw 'ChooseAStrongPassword'
# -> copy the PASSWORD_HASH value into the file below.
# NOTE: in docker-compose, every '$' in the hash MUST be doubled to '$$'.
# 2) Replace WG_HOST with your server's public IP (or a DNS name pointing to it).
# 3) docker compose up -d then open http://SERVER_IP:51821
services:
wg-easy:
image: ghcr.io/wg-easy/wg-easy:14
container_name: wg-easy
restart: unless-stopped
environment:
- WG_HOST=YOUR.SERVER.PUBLIC.IP
- PASSWORD_HASH=$$2a$$12$$REPLACE_WITH_YOUR_BCRYPT_HASH
- WG_PORT=51820
- WG_DEFAULT_DNS=1.1.1.1
- WG_DEFAULT_ADDRESS=10.8.0.x
- WG_ALLOWED_IPS=0.0.0.0/0, ::/0
volumes:
- ./wg-data:/etc/wireguard
ports:
- "51820:51820/udp" # WireGuard tunnel
- "51821:51821/tcp" # Web admin UI
cap_add:
- NET_ADMIN
- SYS_MODULE
sysctls:
- net.ipv4.ip_forward=1
- net.ipv4.conf.all.src_valid_mark=1
Pare-feu
Ports à ouvrir
| Port | Protocole | Objectif |
|---|---|---|
| 51820 | UDP | Tunnel WireGuard (plan de données) - doit être ouvert sur Internet |
| 51821 | TCP | Interface d'administration web wg-easy - à garder derrière le pare-feu, à joindre via un tunnel SSH ou un reverse proxy avec authentification |
Dimensionnement optimal
De quel forfait vous avez besoin
VPS Nano / Small (1 vCPU, 1-2 Go de RAM)
1 à 3 appareils personnels, navigation générale et changement de géolocalisation. WireGuard est aussi rapide que le noyau ; le CPU est rarement le facteur limitant à ce niveau.
VPS Pro (2-4 vCPU, 4-8 Go de RAM)
Un foyer ou une petite équipe, 10 à 25 pairs, streaming/téléchargements soutenus. La bande passante illimitée compte ici plus que le nombre de cœurs.
Serveur dédié (ou VPS haut de gamme avec cœurs dédiés)
50+ pairs, un débit saturant le gigabit ou une passerelle site à site. Un CPU dédié évite la gigue liée aux voisins bruyants sur le chemin de chiffrement.
Meilleurs emplacements : Choisissez un emplacement privacy-tier ChainVPS pour votre sortie VPN : la Suisse (CH), l'Islande (IS) et les Pays-Bas (NL) offrent des régimes de protection des données solides et un bon transit européen, tandis que la Roumanie (RO), la Moldavie (MD) et le Luxembourg (LU) complètent l'éventail de juridictions à l'écart des pressions habituelles de partage de surveillance. Choisissez celui physiquement le plus proche de l'endroit où vous naviguez réellement afin de minimiser la latence du tunnel, puisque chaque paquet fait l'aller-retour par la sortie.
Verrouillez-le
Liste de vérification du durcissement
- N'exposez jamais l'interface web wg-easy (51821) sur Internet - liez-la à localhost et accédez-y via 'ssh -L 51821:localhost:51821 user@server', ou placez-la derrière un reverse proxy avec TLS et authentification HTTP. Seul le port 51820/udp doit être joignable publiquement.
- Protégez le serveur avec un véritable pare-feu : 'ufw default deny incoming', autorisez uniquement votre port SSH et 51820/udp, et laissez le forwarding de Docker gérer le reste. Vérifiez que net.ipv4.ip_forward=1 persiste après les redémarrages.
- Figez l'image sur un tag précis (par ex. :14) plutôt que :latest, afin qu'un changement en amont ne puisse pas modifier silencieusement le comportement, et reconstruisez volontairement après avoir consulté les notes de version. Conservez le répertoire ./wg-data avec des configs en 0600 - il contient les clés privées de chaque pair.
- Durcissez SSH avant toute chose : authentification par clé uniquement, désactivez la connexion par mot de passe et le login root, et changez ou protégez le port. La confidentialité du VPN est limitée par quiconque peut se connecter à l'hôte.
- Configurez WG_DEFAULT_DNS avec un résolveur de confiance (ou hébergez le vôtre sur le serveur) afin que les clients ne fuient pas leurs requêtes DNS hors du tunnel, et vérifiez avec un test de fuite IP/DNS après connexion. Faites tourner ou révoquez les configurations de pairs depuis l'interface lorsqu'un appareil est perdu.
Questions
Hébergement WireGuard — FAQ
Un VPN WireGuard auto-hébergé est-il plus privé qu'un VPN commercial ?
Il échange une IP de sortie partagée contre un contrôle exclusif. Un VPN commercial vous fond parmi des milliers d'utilisateurs, mais vous devez faire confiance à leur promesse de no-logs ; un point d'accès auto-hébergé sur un VPS no-KYC signifie qu'aucun tiers ne détient votre identité de compte ni vos logs, même si l'IP de sortie n'appartient qu'à vous. Combiné à un paiement en crypto et à un emplacement privacy-tier, cela supprime entièrement la trace d'identité.
Ai-je besoin de l'interface web, ou puis-je faire tourner WireGuard nu ?
L'image wg-easy ci-dessus est la voie la plus rapide car elle génère pour vous les configurations de pairs et les QR codes. Si vous préférez ne disposer d'aucune surface web, installez directement le paquet 'wireguard' sur Ubuntu 24.04 et gérez /etc/wireguard/wg0.conf à la main - même module noyau, mais gestion manuelle des clés et des pairs.
La bande passante illimitée couvre-t-elle vraiment un usage VPN intensif ?
Oui - les plans VPS ChainVPS incluent une bande passante illimitée, ce qui est exactement ce dont un VPN a besoin puisque chaque octet parcouru en navigation, streaming ou téléchargement transite deux fois par le tunnel. Aucun surcoût au gigaoctet à craindre.
Pourquoi le port UDP 51820 est-il le seul à ouvrir publiquement ?
Le plan de données de WireGuard transite entièrement par ce seul port UDP. Le port d'administration web (51821/tcp) sert uniquement à la gestion et doit rester derrière le pare-feu, accessible via un tunnel SSH ; la surface d'attaque publique se résume ainsi à un unique listener UDP qui rejette silencieusement les paquets non authentifiés.
Puis-je l'utiliser pour plusieurs appareils et membres de ma famille ?
Oui. Chaque appareil obtient sa propre configuration de pair depuis l'interface, et un plan de classe VPS Pro gère confortablement un foyer de 10 à 25 pairs. Ne passez à un plan dédié que si vous devez saturer une liaison gigabit ou faire tourner une passerelle site à site.
La protection anti-DDoS est-elle importante pour un point d'accès VPN ?
Oui, cela aide - le port UDP public d'un VPN peut attirer des inondations volumétriques, et ChainVPS inclut une protection anti-DDoS pour qu'une rafale de trafic parasite ne mette pas votre tunnel hors ligne. Cela ne neutralisera pas un attaquant qui possède déjà des clés de pair valides, donc gardez ces clés strictement sous contrôle.
Plus à auto-héberger
Autres stacks en un clic
Déployer WireGuard
dans les 60 prochaines secondes.
Bande passante illimitée · DDoS inclus · 21 cryptomonnaies · sans KYC.