所有系统运行正常 21 支持的加密货币 · 欢迎使用 Monero 无需 KYC 政策
ChainVPS

VPN · 无需 KYC

在离岸VPS上部署 WireGuard

在离岸ChainVPS实例上运行你自己的WireGuard VPN,获得一条只听命于你、快速且现代化的加密隧道。

这是什么

WireGuard是一种内置于Linux内核的轻量级高性能VPN协议,使用现代加密算法(Curve25519、ChaCha20、Poly1305)建立加密点对点隧道。在VPS上自行搭建后,该服务器就会变成一个完全由你掌控的个人VPN出口节点,让你的流量通过该服务器的IP转发,而不是经由共享的商业VPN提供商。

为何选择离岸托管

自建VPN的私密程度取决于运行它的服务器本身,因此选择一家无需KYC、可用加密货币支付、且位于隐私友好司法辖区的主机商,能够消除商业VPN和主流云服务商所保留的身份记录。ChainVPS的不限量带宽以及隐私分级机房——荷兰(NL)、瑞士(CH)、罗马尼亚(RO)、冰岛(IS)、摩尔多瓦(MD)、卢森堡(LU)——让隧道能够承载真实流量,没有计费意外,也不会留下将出口IP与你本人关联的书面记录。

部署过程

一套可用的参考配置

将其复制到全新的 ChainVPS 实例中。替换占位符后即可启动。

docker-compose.yml
# wg-easy: WireGuard + web admin UI. Docker + compose plugin required.
# 1) Generate a bcrypt admin password hash first:
#    docker run --rm ghcr.io/wg-easy/wg-easy:14 wgpw 'ChooseAStrongPassword'
#    -> copy the PASSWORD_HASH value into the file below.
#    NOTE: in docker-compose, every '$' in the hash MUST be doubled to '$$'.
# 2) Replace WG_HOST with your server's public IP (or a DNS name pointing to it).
# 3) docker compose up -d   then open http://SERVER_IP:51821

services:
  wg-easy:
    image: ghcr.io/wg-easy/wg-easy:14
    container_name: wg-easy
    restart: unless-stopped
    environment:
      - WG_HOST=YOUR.SERVER.PUBLIC.IP
      - PASSWORD_HASH=$$2a$$12$$REPLACE_WITH_YOUR_BCRYPT_HASH
      - WG_PORT=51820
      - WG_DEFAULT_DNS=1.1.1.1
      - WG_DEFAULT_ADDRESS=10.8.0.x
      - WG_ALLOWED_IPS=0.0.0.0/0, ::/0
    volumes:
      - ./wg-data:/etc/wireguard
    ports:
      - "51820:51820/udp"   # WireGuard tunnel
      - "51821:51821/tcp"   # Web admin UI
    cap_add:
      - NET_ADMIN
      - SYS_MODULE
    sysctls:
      - net.ipv4.ip_forward=1
      - net.ipv4.conf.all.src_valid_mark=1

防火墙

需开放的端口

端口协议用途
51820UDPWireGuard隧道(数据平面)- 必须对公网开放
51821TCPwg-easy网页管理界面 - 请保持防火墙屏蔽,通过SSH隧道或带身份验证的反向代理访问

按需调配规格

您需要哪种套餐

轻量级

VPS Nano / Small (1 vCPU, 1-2 GB RAM)

1-3台个人设备,满足日常浏览与地理位置切换。WireGuard内核级高速运行,在此级别CPU很少成为瓶颈。

中等

VPS Pro (2-4 vCPU, 4-8 GB RAM)

适合家庭或小型团队,10-25个对等设备,稳定的流媒体/下载需求。此级别不限量带宽比核心数更重要。

重度

Dedicated (or top VPS with dedicated cores)

50个以上对等设备、能跑满千兆吞吐,或用作站点到站点网关。独享CPU可避免加密链路上的“邻居干扰”抖动。

最佳地区: 为VPN出口选择一个ChainVPS隐私分级机房:瑞士(CH)、冰岛(IS)和荷兰(NL)拥有强有力的数据保护制度和优良的欧洲网络中转;罗马尼亚(RO)、摩尔多瓦(MD)和卢森堡(LU)则进一步扩充了不受常见监控共享压力影响的司法辖区选择。请选择物理距离你实际上网地点最近的机房,以最大程度降低隧道延迟,因为每个数据包都要经出口往返一次。

全面加固安全

安全加固清单

  • 切勿将wg-easy网页管理界面(51821)暴露在公网上——将其绑定到localhost,并通过 'ssh -L 51821:localhost:51821 user@server' 访问,或者将其置于带TLS和HTTP身份验证的反向代理之后。只有51820/udp应该可以从公网访问。
  • 在服务器前部署一套真正的防火墙:执行 'ufw default deny incoming',只放行你的SSH端口和51820/udp,其余交给Docker的转发规则处理。请确认net.ipv4.ip_forward=1在重启后依然生效。
  • 将镜像固定到具体的标签(例如 :14),而不是使用 :latest,以免上游变更悄无声息地改变行为;在查阅发行说明后再有意识地重新构建。./wg-data目录中的配置文件权限应设为0600——其中保存着每个对等设备的私钥。
  • 优先加固SSH:仅允许密钥认证,禁用密码登录和root登录,并更改或保护端口。VPN的私密性最终取决于谁能够登录这台主机。
  • 将WG_DEFAULT_DNS设置为你信任的解析服务器(或在服务器上自行搭建一个),以防客户端的DNS请求泄露到隧道之外,连接后请通过IP/DNS泄露测试进行验证。设备丢失时,请在管理界面中轮换或吊销相应的对等配置。

问题

主机服务 WireGuard — 常见问题

自建WireGuard VPN是否比商业VPN更私密?

这是用共享出口IP换取完全的自主掌控。商业VPN会把你和成千上万的用户混在一起,但你必须相信其“无日志”承诺;而在无需KYC的VPS上自建的节点,意味着没有第三方持有你的账户身份或日志,不过出口IP只属于你一个人。再搭配加密货币支付和隐私分级机房,身份记录就能被彻底清除。

我需要网页管理界面吗,还是可以只运行原生WireGuard?

上面的wg-easy镜像是最快捷的方式,因为它会自动为你生成对等配置和二维码。如果你更倾向于完全不暴露任何网页界面,可以直接在Ubuntu 24.04上安装 'wireguard' 软件包,手动管理 /etc/wireguard/wg0.conf——使用的是同一个内核模块,只是密钥和对等配置需要手动管理。

不限量带宽真的能满足高强度VPN使用吗?

可以——ChainVPS的VPS套餐都包含不限量带宽,这正是VPN所需要的,因为你浏览、观看或下载的每一个字节都要经过隧道两次。你完全不用担心按GB计费的超额费用。

为什么只应该公开开放UDP 51820这一个端口?

WireGuard的数据平面完全运行在这一个UDP端口上。网页管理端口(51821/tcp)仅用于管理,应保持防火墙屏蔽,并通过SSH隧道访问,因此公网上的攻击面就只剩下一个会默默丢弃未经身份验证数据包的UDP监听端口。

我可以将它用于多台设备和家人吗?

可以。每台设备都可以在管理界面中获得各自的对等配置,VPS Pro级别的套餐足以从容应对10-25个对等设备的家庭使用场景。只有当你需要跑满千兆链路或搭建站点到站点网关时,才需要升级到独享型(Dedicated)套餐。

DDoS防护对VPN节点来说重要吗?

有帮助——VPN对外开放的UDP端口容易招致流量型洪水攻击,而ChainVPS内置了DDoS防护,可以避免突发的垃圾流量把你的隧道打下线。但它无法阻挡已经拥有有效对等密钥的攻击者,所以务必严格管控好这些密钥。

立即创建 WireGuard
在接下来的 60 秒内。

不限流量带宽 · 包含 DDoS 防护 · 21 种加密货币 · 无需 KYC。