Можно ли VPN на NAT-VPS или нужен выделенный IP?

Нужен выделенный IP. VPN слушает входящие на UDP-порту и выпускает ваш трафик под IP сервера — для этого нужен свой публичный IP и возможность открывать порты, чего NAT с общим IP не даёт. Под VPN берите тариф с выделенным IP.

Свой WireGuard лучше коммерческого VPN?

Для приватности от вашей сети и быстрого личного туннеля — да: вы контролируете сервер, нет вопроса об общих логах. Но честно про размен: весь трафик выходит с одного фиксированного IP, который явно серверный — это отлично для приватности и гео-гибкости, но не для растворения в толпе. И локация ровно одна — ваша.

Насколько быстр WireGuard на VPS?

Быстр. WireGuard добавляет очень мало накладных расходов, так что обычно получаете близко к скорости канала сервера — заметно шустрее старых OpenVPN. На маленьком сервере CPU редко узкое место для личного туннеля.

VPN требует много RAM или CPU?

Нет. Личный WireGuard-туннель лёгкий — 1 ГБ / 2 ядра спокойно тянут несколько устройств. WireGuard живёт в ядре и почти не ест ресурсы; вы платите за трафик и IP, а не за мощность.

Будет ли свой VPN вести логи?

Только если вы их настроите — сам WireGuard не логирует соединения и трафик. Сервер ваш, решаете вы. В этом и суть: «без логов» — то, что вы обеспечиваете сами, а не то, чему приходится верить компании.

Свой WireGuard VPN на VPS — поднимаем сами

Есть зуд, который коммерческий VPN так и не унимает: вы всё равно доверяете чьему-то чужому обещанию «без логов». Свой WireGuard переворачивает это — сервер ваш, ключи ваши, и единственная политика «без логов», которая важна, — та, что вы реально настроили. К тому же это по-настоящему быстро и занимает минут десять. Вот всё целиком.

Сначала — требование, которое все пропускают

VPN нужен выделенный IP — не NAT/общий. Причина проста: VPN слушает входящие на UDP-порту и отправляет ваш трафик обратно под собственным адресом сервера. Для этого нужен свой публичный IP и свобода открывать порты. NAT-сервер с общим IP (SSH на проброшенном порту, без произвольных входящих) так не умеет. Так что берите тариф с выделенным IP до старта — всё ниже предполагает его.

Большим он быть не обязан. WireGuard лёгкий: 1 ГБ / 2 ядра туннелируют несколько устройств без напряжения. Вы платите за IP и трафик, не за CPU.

Установка (лёгкий путь)

На свежем Ubuntu/Debian с выделенным IP быстрее всего — известный скрипт-помощник wireguard-install, который сам делает ключи, интерфейс и первого клиента:

sudo apt update && sudo apt install -y curl
curl -O https://raw.githubusercontent.com/angristan/wireguard-install/master/wireguard-install.sh
sudo bash wireguard-install.sh

Он задаст пару вопросов (публичный IP — обычно сам определяет, порт, DNS), затем сгенерит конфиг клиента и покажет его QR-кодом. Это вся серверная часть.

Хотите руками? Ручной вариант — это apt install wireguard, ключи через wg genkey, /etc/wireguard/wg0.conf с [Interface] и блоком [Peer] на устройство, включить форвардинг (net.ipv4.ip_forward=1) и systemctl enable --now wg-quick@wg0. Скрипт просто делает это без опечаток.

Подключить устройство

Телефон: поставьте приложение WireGuard, нажмите +, отсканируйте QR, который вывел скрипт. Готово.
Ноутбук: поставьте WireGuard, импортируйте .conf, который сохранил скрипт. Включите.

Добавить ещё устройство — перезапустите скрипт и выберите «добавить клиента»: каждому свой конфиг и ключ.

Не пропускайте: закройте сервер

Это VPN, но всё ещё сервер с публичным IP, который сканируют. Сначала потратьте пять минут на чек-лист безопасности — SSH-ключи, отключённый пароль, файрвол, разрешающий только SSH и ваш UDP-порт WireGuard. VPN на незакрытом сервере — противоречие.

Честные размены

Свой VPN явно выигрывает в доверии и скорости: ваш сервер, ваши ключи, почти нативная пропускная WireGuard, нет логов, пока вы их не включите. Где не выигрывает:

Анонимность в толпе. Весь трафик выходит с одного фиксированного IP, явно серверного. Отлично для приватности от вашей локальной сети или провайдера и для стабильного личного выхода — но это противоположность растворению в общем пуле. Другая цель.
Одна локация. Получаете регион, где стоит сервер, и всё. Без прыжков по странам.
Вы — админ. Обновления, аптайм и ключи теперь ваша забота — в этом и смысл, но это работа.

Если нужен быстрый приватный туннель под полным вашим контролем — для своих устройств, своего трафика, без доверия третьим — свой WireGuard трудно перебить. Возьмите тариф с выделенным IP (можно крипто-оплатой, без KYC), запустите скрипт, отсканируйте QR — и туннель готов минут за десять.