WireGuard на VPS: настройка собственного VPN-сервера

WireGuard использует всего 4000 строк кода против 100 000+ у OpenVPN. Меньше кода - меньше уязвимостей и значительно проще аудит безопасности. Криптография фиксирована и современна: ChaCha20 для шифрования, Poly1305 для аутентификации, Curve25519 для обмена ключами. Никаких устаревших алгоритмов, никаких настроек "понизить стойкость для совместимости".

Производительность: на VPS с 2 vCPU WireGuard пропускает 900+ Мбит/с с шифрованием. OpenVPN на тех же ресурсах ограничен 100-200 Мбит/с из-за работы в пространстве пользователя. Для потокового видео в 4K и видеозвонков разница ощутима мгновенно.

Переключение сети: WireGuard использует UDP и восстанавливает соединение за доли секунды при смене Wi-Fi на мобильный интернет. OpenVPN и IKEv2 требуют несколько секунд на повторное согласование.

После получения SSH-доступа к VPS выполните следующие команды:

# Установка WireGuard
apt update && apt install -y wireguard

# Генерация ключей сервера
wg genkey | tee /etc/wireguard/server_private.key | wg pubkey > /etc/wireguard/server_public.key

# Создание конфигурации
cat > /etc/wireguard/wg0.conf << EOF
[Interface]
PrivateKey = $(cat /etc/wireguard/server_private.key)
Address = 10.0.0.1/24
ListenPort = 51820
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
EOF

# Включение IP forwarding
echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
sysctl -p

# Запуск
systemctl enable --now wg-quick@wg0

После этого добавьте клиентское устройство командой wg set wg0 peer [CLIENT_PUBLIC_KEY] allowed-ips 10.0.0.2/32. Для Windows, macOS, Android и iOS существуют официальные клиенты WireGuard с импортом конфигурации через QR-код.

WireGuard работает по UDP и имеет узнаваемый "отпечаток" трафика, который система ТСПУ умеет детектировать. Для использования из России рекомендуется применять обфускацию. Два проверенных варианта:

• AmneziaWG: форк WireGuard с настраиваемыми заголовками пакетов. Совместим со стандартными клиентами, убирает детектируемые паттерны. Официальные клиенты для всех платформ.
• wg-obfs: туннелирование WireGuard внутри обфусцированного потока. Эффективно против DPI первого уровня.

Если обфускация нежелательна, рассмотрите VLESS+Reality или Shadowsocks-2022 как основной протокол для трафика из России, оставив WireGuard для других регионов.

Офшорные VPS AnubizHost в Финляндии и Исландии имеют прямой пиринг с российскими операторами, что обеспечивает минимальную задержку даже при использовании обфускации.

Для WireGuard-сервера достаточно минимального тарифа: 1 vCPU, 1 ГБ RAM хватает для 50+ одновременных клиентов. AnubizHost предлагает VPS от $17.90/месяц в Исландии, Финляндии и Румынии. Оплата исключительно криптовалютой: Bitcoin, Monero, USDT TRC-20. KYC не требуется.

Все тарифы включают 1 Гбит/с порт с безлимитным трафиком. Нет скрытых лимитов на количество клиентских подключений. Root-доступ по SSH предоставляется сразу после оплаты.