VPS cho VPN Cá Nhân - Tự Host WireGuard và OpenVPN

Hầu hết VPN thương mại tuyên bố "no-log" nhưng không có cách nào để người dùng xác minh. Nhiều trường hợp đã chứng minh VPN "no-log" giao nộp log cho cơ quan chức năng khi bị yêu cầu. Khi tự host VPN trên VPS của mình, bạn là người duy nhất kiểm soát server. Không có bên thứ ba. Không có policy ẩn. Bạn biết chính xác cấu hình logging, firewall rule và ai có thể truy cập server. Thêm nữa, VPN tự host nhanh hơn. VPN thương mại phải chia sẻ băng thông và IP với hàng nghìn người dùng cùng lúc. VPS riêng 1Gbps của bạn chỉ dùng cho bạn - tốc độ không đổi bất kể giờ cao điểm. Chi phí cũng thấp hơn về lâu dài. VPS nhỏ nhất ($5-10/tháng) thay thế hoàn toàn subscription VPN thương mại ($10-15/tháng) với bảo mật tốt hơn.

WireGuard là giao thức VPN hiện đại nhất: nhanh hơn OpenVPN 3-5 lần, code base nhỏ hơn 40 lần (dễ audit bảo mật hơn) và pin battery ít hơn trên mobile. **Cài đặt nhanh với wg-easy (5 phút):** ```bash docker run -d \ --name wg-easy \ -e WG_HOST=YOUR_VPS_IP \ -e PASSWORD=your_admin_password \ -v ~/.wg-easy:/etc/wireguard \ -p 51820:51820/udp \ -p 51821:51821/tcp \ --cap-add NET_ADMIN \ --cap-add SYS_MODULE \ ghcr.io/wg-easy/wg-easy ``` Sau đó truy cập http://YOUR_VPS_IP:51821 để quản lý peer qua web UI đẹp. Tạo QR code để scan trực tiếp trên iPhone/Android. **Cài thủ công (nhiều kiểm soát hơn):** `sudo apt install wireguard` rồi cấu hình /etc/wireguard/wg0.conf theo tài liệu chính thức. Phù hợp nếu bạn muốn hiểu rõ cơ chế hoạt động.

Sau khi cài WireGuard, hardening server để đảm bảo không ai khác có thể xâm nhập: **SSH hardening:** ``` # /etc/ssh/sshd_config PermitRootLogin prohibit-password # chỉ cho phép SSH key PasswordAuthentication no # tắt login bằng password Port 2222 # đổi port mặc định MaxAuthTries 3 ``` **Firewall với UFW:** ```bash ufw default deny incoming ufw default allow outgoing ufw allow 2222/tcp # SSH ufw allow 51820/udp # WireGuard ufw enable ``` **Tắt IPv6 DNS leak:** Cấu hình DNS-over-HTTPS với dnscrypt-proxy hoặc dùng DNS resolver riêng (Unbound) trên VPS để tránh DNS leak qua ISP. **Fail2ban:** Chặn IP cố gắng SSH brute force sau 3 lần thất bại. Cài đặt tự động với `sudo apt install fail2ban`.

VPN tự host trên VPS offshore mở ra nhiều khả năng: **Bypass kiểm duyệt địa lý:** Truy cập Netflix US, Spotify, game store nước ngoài từ Việt Nam. IP VPS Iceland/Romania không bị geoblocking như nhiều VPN thương mại đã bị chặn. **Bảo vệ khi dùng WiFi công cộng:** Kết nối VPN trước khi dùng WiFi quán cà phê, sân bay. Toàn bộ traffic mã hóa end-to-end, không ai trên cùng mạng có thể sniff. **Split tunneling:** Cấu hình WireGuard chỉ route traffic cụ thể qua VPN. Ví dụ: chỉ route YouTube và Spotify qua VPS, traffic bình thường đi thẳng - tiết kiệm bandwidth VPS. **Private network cho gia đình/team:** Chia sẻ VPN với vợ/chồng, bạn bè hoặc team nhỏ. WireGuard hỗ trợ nhiều peer, mỗi peer có IP riêng trong network ảo. **Truy cập NAS/thiết bị tại nhà từ xa:** Kết hợp VPN với port forward để quản lý thiết bị gia đình an toàn khi đi công tác.