Todos os sistemas operando normalmente 21 criptomoedas aceitas · Monero bem-vindo Política No-KYC
ChainVPS

VPN · sem KYC

Hospede WireGuard em um VPS offshore

Rode sua própria VPN WireGuard em uma instância offshore da ChainVPS e tenha um túnel criptografado rápido e moderno que não responde a ninguém além de você.

O que é

O WireGuard é um protocolo de VPN leve e de alto desempenho, integrado ao kernel do Linux, que estabelece túneis criptografados ponto a ponto usando criptografia moderna (Curve25519, ChaCha20, Poly1305). Hospedá-lo você mesmo em um VPS transforma esse servidor em um nó de saída de VPN pessoal totalmente sob seu controle, roteando seu tráfego pelo IP do servidor em vez de um provedor comercial compartilhado.

Por que hospedar offshore

Uma VPN auto-hospedada é tão privada quanto o servidor onde ela roda, então uma hospedagem sem KYC, paga em cripto, em uma jurisdição favorável à privacidade elimina o rastro de identidade que as VPNs comerciais e as clouds tradicionais mantêm registrado. A banda ilimitada da ChainVPS e as localizações do tier de privacidade (NL/CH/RO/IS/MD/LU) permitem que o túnel carregue tráfego real sem surpresas de medição nem um rastro documental ligando o IP de saída a você.

A implantação

Uma configuração de referência funcional

Copie isto para uma instância nova do ChainVPS. Substitua os placeholders e depois coloque no ar.

docker-compose.yml
# wg-easy: WireGuard + web admin UI. Docker + compose plugin required.
# 1) Generate a bcrypt admin password hash first:
#    docker run --rm ghcr.io/wg-easy/wg-easy:14 wgpw 'ChooseAStrongPassword'
#    -> copy the PASSWORD_HASH value into the file below.
#    NOTE: in docker-compose, every '$' in the hash MUST be doubled to '$$'.
# 2) Replace WG_HOST with your server's public IP (or a DNS name pointing to it).
# 3) docker compose up -d   then open http://SERVER_IP:51821

services:
  wg-easy:
    image: ghcr.io/wg-easy/wg-easy:14
    container_name: wg-easy
    restart: unless-stopped
    environment:
      - WG_HOST=YOUR.SERVER.PUBLIC.IP
      - PASSWORD_HASH=$$2a$$12$$REPLACE_WITH_YOUR_BCRYPT_HASH
      - WG_PORT=51820
      - WG_DEFAULT_DNS=1.1.1.1
      - WG_DEFAULT_ADDRESS=10.8.0.x
      - WG_ALLOWED_IPS=0.0.0.0/0, ::/0
    volumes:
      - ./wg-data:/etc/wireguard
    ports:
      - "51820:51820/udp"   # WireGuard tunnel
      - "51821:51821/tcp"   # Web admin UI
    cap_add:
      - NET_ADMIN
      - SYS_MODULE
    sysctls:
      - net.ipv4.ip_forward=1
      - net.ipv4.conf.all.src_valid_mark=1

Firewall

Portas a abrir

PortaProtocoloFinalidade
51820UDPTúnel WireGuard (plano de dados) - deve ficar aberto para a internet
51821TCPInterface web de administração do wg-easy - mantenha protegida por firewall, acesse via túnel SSH ou um proxy reverso com autenticação

Dimensionamento adequado

Qual plano você precisa

Leve

VPS Nano / Small (1 vCPU, 1-2 GB RAM)

1 a 3 dispositivos pessoais, navegação geral e troca de geolocalização. O WireGuard é rápido a nível de kernel; a CPU raramente é o limite nesse nível.

Médio

VPS Pro (2-4 vCPU, 4-8 GB RAM)

Uma família ou equipe pequena, 10 a 25 peers, streaming/downloads constantes. Aqui a banda ilimitada importa mais do que os núcleos.

Pesado

Dedicated (ou um VPS de ponta com núcleos dedicados)

50+ peers, throughput que satura o gigabit ou um gateway site-to-site. CPU dedicada evita o jitter de "vizinho barulhento" no caminho de criptografia.

Melhores localizações: Escolha uma localização do tier de privacidade da ChainVPS para a saída da VPN: Suíça (CH), Islândia (IS) e Países Baixos (NL) oferecem regimes robustos de proteção de dados e bom trânsito europeu, enquanto Romênia (RO), Moldávia (MD) e Luxemburgo (LU) completam o leque de jurisdições fora da pressão comum de compartilhamento de vigilância. Escolha a que fica fisicamente mais próxima de onde você realmente navega para minimizar a latência do túnel, já que cada pacote faz ida e volta através da saída.

Bloqueie tudo

Checklist de hardening

  • Nunca exponha a interface web do wg-easy (51821) para a internet - vincule-a ao localhost e acesse-a via 'ssh -L 51821:localhost:51821 user@server', ou coloque-a atrás de um proxy reverso com TLS e autenticação HTTP. Somente a porta 51820/udp deve ficar acessível publicamente.
  • Proteja o servidor com um firewall de verdade: 'ufw default deny incoming', permita apenas sua porta SSH e a 51820/udp, e deixe o encaminhamento do Docker cuidar do resto. Confirme que net.ipv4.ip_forward=1 persiste após reinicializações.
  • Fixe a imagem em uma tag específica (por exemplo, :14) em vez de :latest, para que uma mudança upstream não altere o comportamento silenciosamente, e reconstrua deliberadamente após revisar as notas de versão. Mantenha o diretório ./wg-data com configs em 0600 - ele guarda as chaves privadas de cada peer.
  • Reforce a segurança do SSH antes de qualquer outra coisa: autenticação somente por chave, desative login por senha e login root, e altere ou proteja a porta. A privacidade da VPN é limitada por quem consegue fazer login no servidor.
  • Configure o WG_DEFAULT_DNS para um resolver confiável (ou rode o seu próprio no servidor) para que os clientes não vazem DNS para fora do túnel, e verifique com um teste de vazamento de IP/DNS depois de conectar. Rotacione ou revogue as configs de peer pela interface quando um dispositivo for perdido.

Perguntas

Hospedagem WireGuard — FAQ

Uma VPN WireGuard auto-hospedada é mais privada do que uma VPN comercial?

Ela troca um IP de saída compartilhado por controle exclusivo. Uma VPN comercial mistura você com milhares de outros usuários, mas você precisa confiar na promessa de 'sem logs' feita por ela; um endpoint auto-hospedado em um VPS sem KYC significa que nenhum terceiro guarda a identidade da sua conta ou seus logs, embora o IP de saída seja só seu. Combinar isso com pagamento em cripto e uma localização do tier de privacidade elimina completamente o rastro de identidade.

Preciso da interface web, ou posso rodar o WireGuard puro?

A imagem wg-easy acima é o caminho mais rápido, pois gera as configs de peer e os códigos QR para você. Se preferir não ter nenhuma superfície web, instale o pacote 'wireguard' diretamente no Ubuntu 24.04 e gerencie o /etc/wireguard/wg0.conf manualmente - o mesmo módulo de kernel, só que com gerenciamento manual de chaves e peers.

A banda ilimitada realmente cobre um uso intenso de VPN?

Sim - os planos VPS da ChainVPS incluem banda ilimitada, exatamente o que uma VPN precisa, já que cada byte que você navega, transmite ou baixa passa pelo túnel duas vezes. Não há cobranças extras por gigabyte excedente com que se preocupar.

Por que a porta UDP 51820 é a única que devo abrir publicamente?

O plano de dados do WireGuard roda inteiramente sobre essa única porta UDP. A porta de administração web (51821/tcp) é apenas para gerenciamento e deve permanecer protegida por firewall, acessada via túnel SSH, de modo que a superfície de ataque pública seja um único listener UDP que descarta silenciosamente pacotes não autenticados.

Posso usar isso para vários dispositivos e membros da família?

Sim. Cada dispositivo recebe sua própria config de peer pela interface, e um plano da classe VPS Pro dá conta tranquilamente de uma família com 10 a 25 peers. Escale para um plano Dedicated somente quando precisar saturar um link gigabit ou rodar um gateway site-to-site.

A proteção contra DDoS é importante para um endpoint de VPN?

Ajuda - a porta UDP pública de uma VPN pode atrair inundações volumétricas, e a ChainVPS inclui mitigação de DDoS para que uma rajada de tráfego lixo não derrube seu túnel. Isso não impede um atacante que já tenha chaves de peer válidas, então mantenha essas chaves sob controle rígido.

Implante WireGuard
nos próximos 60 segundos.

Banda ilimitada · DDoS incluído · 21 criptomoedas · sem KYC.