یک VPN خودمیزبان روی یک VPS بدون KYC در کشوری حامی حریم خصوصی، یکی از مقرونبهصرفهترین ارتقاهای حریم خصوصی است که میتوانید در سال 2026 انجام دهید. با کمتر از $10 در ماه، یک ارائهدهنده VPN تجاری را جایگزین میکنید — که سیاست ثبت لاگهایش را باید بدون سند بپذیرید — با یک تنظیم که در آن مرز اعتماد در دست خودتان است. دو پروتکل ارزشمند برای استفاده امروز WireGuard و OpenVPN هستند. از صفحات بازاریابی یکسان به نظر میرسند؛ اما اینطور نیستند. این راهنما تفاوتهای واقعی، نکات تنظیمی مهم و بهداشت عملیاتی را بررسی میکند که سرور را برای سالها مفید نگه میدارد.
چرا بهجای VPN تجاری، خودمیزبانی کنیم؟
مرز اعتماد به دست شما منتقل میشود
یک ارائهدهنده VPN تجاری تمام سایتهایی که بازدید میکنید را میبیند. سیاست حفظ حریم خصوصیشان یک وعده است — حتی با ممیزیهای عمومی بدون لاگ، فقط به شکل سطحی قابل تأیید است. وقتی خودمیزبانی میکنید، تنها موجودیتی که ترافیک شما را در لایه VPN میبیند خودتان هستید. هاست میداند که IP وجود دارد و ترافیک جاری است؛ اما محتوای داخل تونل برای آنها کاملاً ناشفاف است.
بدون KYC، بدون اعتبار مشترک IP خروجی
IPهای خروجی VPN تجاری بهطور مداوم بلاکلیست میشوند. تا سال 2026، بازه IP اغلب ارائهدهندگان بزرگ توسط Cloudflare، کپچاهای Google، سیستمهای ضد تقلب خدمات مالی و محدودیتهای جغرافیایی استریمینگ پرچمگذاری شدهاند. یک endpoint خودمیزبان روی یک IP تازه دیتاسنتر بدون سابقه، بهندرت با هیچکدام از اینها مواجه میشود — تا زمانی که از آن سوءاستفاده نکنید، که در آن صورت IP میسوزد و یک نمونه جدید راهاندازی میکنید.
هزینه
VPN تجاری: $5 تا $13 در ماه برای هر کاربر. خودمیزبان روی یک VPS با 1GB رم و 1 vCPU: $5 تا $8 در ماه، که از یک خانه کامل پشتیبانی میکند و بهراحتی به 200 Mbps روی WireGuard میرسد. نقطه سربهسر برای یک کاربر است.
چه چیزی از دست میدهید
انتخاب چندکشوره برای خروج. یک VPN تجاری با یک کلیک بیش از 50 کشور خروجی به شما میدهد؛ خودمیزبانی دقیقاً کشوری را ارائه میدهد که VPS شما در آن است. راهحل این است که دو یا سه سرور در حوزههای قضایی مختلف راهاندازی کنید — که هنوز ارزانتر از تجاری است.
WireGuard در مقابل OpenVPN: مقایسه در سطح پروتکل
WireGuard در یک نگاه
WireGuard یک پروتکل VPN مدرن است که توسط Jason Donenfeld طراحی شده و در مارس 2020 به هسته Linux اضافه شد. پایه کد: حدود ۴۰۰۰ خط C (در مقابل ~۷۰٬۰۰۰ خط برای OpenVPN). روی Linux در فضای هسته اجرا میشود که منبع اصلی مزیت سرعت است. رمزنگاری ثابت است: ChaCha20-Poly1305 برای متقارن، Curve25519 برای تبادل کلید، BLAKE2s برای هشینگ، بدون مذاکره الگوریتم. پیکربندی یک فایل متنی 4 تا 10 خطی است.
OpenVPN در یک نگاه
OpenVPN استاندارد تثبیتشده است که از سال 2001 در محیط تولید بوده است. در فضای کاربر اجرا میشود، از OpenSSL یا mbedTLS برای رمزنگاری استفاده میکند، از طیف گستردهای از رمزها و روشهای احراز هویت پشتیبانی میکند و تا حد زیادی قابل تنظیم است. پشتیبانی بومی از انتقال TCP (ضروری برای برخی شبکههای محدود که UDP در آنها مسدود است)، احراز هویت کلاینت مبتنی بر TLS از طریق گواهینامه، و احراز هویت قابل توصعه PAM/RADIUS. ابزارسازی بالغ، اسکریپتنویسی آسان، ممیزی آسان و نکات عملیاتی مستندشده خوب.
مقایسه جانببهجانب
| ابعاد | WireGuard | OpenVPN |
|---|---|---|
| حجم کد | ~4,000 خط | ~70,000 خط + OpenSSL |
| توان عملیاتی روی لینک 1 Gbps | ~95% نرخ خط (~940 Mbps) | ~50–70% نرخ خط (500–700 Mbps) |
| زمان دستدهی | ~1 RTT | ~6 RTTs |
| پورت UDP پیشفرض | 51820 | 1194 |
| پشتیبانی TCP | خیر (از udp2raw یا wstunnel استفاده کنید) | بله، بومی |
| انعطاف رمزنگاری | هیچ (مجموعه ثابت) | کامل |
| تأثیر بر باتری موبایل | کم (هسته + سازگار با رومینگ) | متوسط |
| مبهمسازی | خارجی (udp2raw، awg) | obfsproxy، stunnel، tls-crypt-v2 |
| سطح ممیزی | کوچک، تأیید رسمیشده | بزرگ، بررسیشده خوب |
| بلوغ عملیاتی | قوی از سال 2021 | قوی از ~2008 |
اعداد توان عملیاتی، توضیح داده شده
روی یک VPS $10 با یک vCPU و یک لینک اشتراکی 1 Gbps، WireGuard لینک را اشباع میکند تا زمانی که به شکلدهنده پهنای باند هاست یا گلوگاه CPU پشته شبکه فضای کاربر برسید — معمولاً 800 تا 940 Mbps در سال 2026. OpenVPN روی همان سختافزار به دلیل سربار TLS و هزینه سوئیچکانتکست فضای کاربر حدود 500 تا 650 Mbps کاهش مییابد. برای یک خانه که محتوای 4K استریم میکند، هر دو کافی هستند. برای یک توسعهدهنده که ایمیجهای کانتینر چند گیگابایتی را از طریق تونل دریافت میکند، WireGuard واقعاً زمان صرفهجویی میکند.
وقتی OpenVPN هنوز انتخاب درستی است
شبکههای محدودی که UDP را مسدود میکنند
شبکههای هتل، دانشگاه و شرکتی که ترافیک UDP را رد میکنند، WireGuard را کاملاً از کار میاندازند. OpenVPN روی TCP/443 در لایه L4 از HTTPS تشخیصناپذیر است و عبور میکند. WireGuard را میتوان با استفاده از udp2raw یا wstunnel از طریق TCP تونل کرد، اما این یک بخش متحرک دیگر است و بخشی از سادگی WireGuard را از بین میبرد.
نیاز به مبهمسازی سنگین
اگر به محافظت در برابر پروب فعال در کشوری با مسدودسازی VPN مبتنی بر بازرسی عمیق بسته نیاز دارید — دیوار آتش بزرگ چین، ایران، اجرای اخیر روسیه علیه پروتکلهای اصلی VPN — OpenVPN با stunnel یا obfs4 سابقه طولانیتری دارد. راهحل WireGuard (AmneziaWG که فعالترین فورک مبهمسازیشده است) کار میکند اما اکوسیستم جوانتری دارد.
احراز هویت دقیق برای هر کاربر
اگر یک VPN برای یک تیم کوچک اجرا میکنید و نیاز به لغو دسترسی افراد دارید، مدل PKI OpenVPN (هر کاربر یک گواهی دریافت میکند، لغو از طریق CRL) نسبت به رویکرد «ویرایش config و بارگذاری مجدد» WireGuard ارگونومیکتر است.
وقتی WireGuard انتخاب درستی است
برای تقریباً هر چیز دیگری: VPN شخصی، VPN خانگی، VPN موبایل با سوئیچ مکرر شبکه، تونلهای حساس به عملکرد، دستگاههای کممصرف، و هر تنظیمی که سادگی خطر عملیاتی را کاهش میدهد. config 4 خطی به این معناست که سطح خطای پیکربندی بسیار کوچک است — یک علت رایج نشت حریم خصوصی OpenVPN این است که افراد فشردهسازی را روشن میگذارند (CRIME) یا از رمزهای قدیمی استفاده میکنند چون config ترسناک است.
کلاینتهای موبایل
رفتار رومینگ WireGuard — برقراری مجدد خاموش تونل هنگامی که شبکه زیرین تغییر میکند — بهطرز چشمگیری از OpenVPN روانتر است، که در آن اتصال مجدد اغلب برنامهها را قطع میکند. روی موبایل، تفاوت تأثیر بر باتری هم واقعی است: کارایی در سطح هسته WireGuard در دستگاهی با VPN همیشهروشن، درصدهای قابل اندازهگیری باتری روزانه را صرفهجویی میکند.
نکاتی که باعث مشکل میشوند
تنظیم MTU
هر دو پروتکل سربار به هر بسته اضافه میکنند (حدود 60 بایت برای WireGuard، بیشتر برای OpenVPN). اگر MTU شبکه زیرین 1500 باشد و MTU داخلی هم 1500 بماند، بستههای بزرگ تکهتکه یا رها میشوند — علامت این است که «چیزهای کوچک کار میکنند، انتقالهای بزرگ متوقف میشوند.» روی سرور VPS این را برطرف کنید: iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu. WireGuard تا حدی خودتنظیم است اما سناریوهای TCP-over-UDP-over-TCP هنوز میتوانند مشکلساز باشند.
سوءاستفاده از پورت 25 و مشکل اعتبار اسپم
اغلب هاستهای معتبر بهطور پیشفرض TCP/25 (SMTP) خروجی را مسدود میکنند — بدون آن، یک VPS در معرض خطر ظرف چند ساعت به یک رله اسپم تبدیل میشود. تا سال 2026، تقریباً هر ارائهدهنده VPS آفشور پورت 25 را روی IPهای مشترک مسدود میکند. سعی نکنید آن را دور بزنید؛ اگر واقعاً به SMTP نیاز دارید، یک IP با اعتبار ثابت درخواست کنید و فرآیند طولانیتر ورود را بپذیرید. endpoint VPN خود را روی IP پیشفرض و سرور ایمیل خود را جای دیگری اجرا کنید.
اعتبار ASN
ASNهای دیتاسنتر بهتدریج فشار captcha بیشتری از Cloudflare، Google و اغلب سیستمهای ضد تقلب دریافت میکنند. ASNهای دیتاسنتر آفشور بوتیک (بازههای IP کوچک/متوسط در ایسلند، مولداوی، پاناما) اغلب اعتبار تمیزتری نسبت به ASNهای ابر مصرفی بزرگ دارند. هاست را بر این اساس انتخاب کنید. برای اطلاعات بیشتر، موارد استفاده میزبانی VPN را ببینید.
Killswitch — PostUp/PostDown
یک killswitch تضمین میکند که اگر تونل VPN قطع شد، دستگاه بهجای نشت ترافیک، ارسال آن را متوقف کند. WireGuard این را با قلابهای PostUp/PreDown در config بهزیبایی پیادهسازی میکند — الگوی استاندارد این است: PostUp = iptables -I OUTPUT ! -o %i -m mark ! --mark $(wg show %i fwmark) -m addrtype ! --dst-type LOCAL -j REJECT. معادل OpenVPN اسکریپتهای --route-up و --down-pre هستند. killswitch را با خاموش کردن دستی پروسه VPN و مشاهده اینکه آیا ترافیک هنوز جاری است آزمایش کنید؛ اگر جاری بود، killswitch فعال نیست.
نشت DNS
هر دو پروتکل ترافیک IP را حمل میکنند؛ هیچکدام بهطور خودکار DNS را از طریق تونل هدایت نمیکنند. کلاینت VPN را پیکربندی کنید تا یک DNS server که فقط از طریق تونل قابل دسترسی است (اغلب خود VPS که unbound یا dnscrypt-proxy اجرا میکند) را push کند. روی Linux، یکپارچهسازی resolvconf را نصب کنید یا از systemd-resolved با محدوده درست استفاده کنید. پس از هر بهروزرسانی اصلی سیستمعامل یا کلاینت با dnsleaktest.com تست کنید.
نشت IPv6
اگر کلاینت شما IPv6 دارد و VPN فقط IPv4 را حمل میکند، ترافیک IPv6 از تونل عبور نمیکند و IP واقعی شما را افشا میکند. یا IPv6 را در سطح دستگاه غیرفعال کنید، یا config VPN را برای مدیریت IPv6 داخل تونل گسترش دهید. WireGuard از تونلهای dual-stack بهخوبی پشتیبانی میکند؛ OpenVPN هم با config سرور مناسب همینطور.
انتخاب VPS مناسب برای این کار
برای یک VPN خودمیزبان شخصی یا خانگی، حداقل مشخصات پایین است: 1 GB RAM، 1 vCPU، 20 GB دیسک، و ظرفیت شبکه متناسب با سرعت تونلی که میخواهید. WireGuard تقریباً CPU مصرف نمیکند؛ OpenVPN اگر بالای 500+ Mbps میفشارید از یک هسته اضافی بهره میبرد. ابتدا با راهنمای حوزه قضایی کشور را انتخاب کنید، سپس سرور را اندازهگیری کنید. پلنهای VPS را مرور کنید برای گزینههای ابتدایی زیر $10 در ماه در هفت حوزه قضایی، و موارد استفاده میزبانی VPN را برای نکات مخصوص راهاندازی بخوانید.
بهداشت عملیاتی
- سرور را هر 6 تا 12 ماه یکبار تعویض کنید. IPهای دیتاسنتر بار تجمع میکنند. یک VPS تازه با یک IP تازه $9 هزینه دارد و 10 دقیقه طول میکشد — ارزانتر از مبارزه با captchaهاست.
- SSH با رمز عبور را غیرفعال کنید. فقط کلید، fail2ban یا sshguard، و اختیاری یک پورت غیر از 22 برای کاهش نویز لاگ.
- بهروزرسانیهای خودکار را اجرا کنید. یک هاست VPN که یک سال از آخرین patch هسته عقب است، از نداشتن VPN خطرناکتر است.
- ترافیک را رصد کنید، نه محتوا را. یک نصب ساده
vnstatبه شما میگوید چه زمانی مشکلی وجود دارد — اشباع ناگهانی uplink معمولاً به معنای سوءاستفاده از سرور است. - با کریپتو پرداخت کنید، بدون KYC در ثبتنام. راهنمای پرداختهای کریپتو توضیح میدهد که هاست بر اساس انتخاب هر کوین چه اطلاعاتی از شما میداند.