Gizlilik dostu bir ülkedeki KYC'siz VPS üzerinde kendi barındırmalı bir VPN, 2026'da yapabileceğiniz en uygun maliyetli gizlilik yükseltmelerinden biridir. Ayda 10 dolardan daha az bir ücretle, kayıt politikasını salt inanç üzerine kabul etmek zorunda olduğunuz ticari bir VPN sağlayıcısının yerini, güven sınırının tamamen size ait olduğu bir kurulumla değiştirirsiniz. Bugün kullanmaya değer iki protokol WireGuard ve OpenVPN'dir. Bunlar bir pazarlama sayfasında birbirinin yerine geçebilirmiş gibi görünür; oysa değillerdir. Bu kılavuz gerçek farkları, önemli kurulum tuzaklarını ve sunucuyu yıllarca kullanılabilir kılan operasyonel hijyen kurallarını ele almaktadır.
Neden ticari VPN yerine kendi kendinize barındırıyorsunuz?
Güven sınırı size geçer
Ticari bir VPN sağlayıcısı ziyaret ettiğiniz her siteyi görür. Gizlilik politikaları bir vaattir — kamuya açık kayıt tutmama denetimleriyle bile yalnızca en gevşek anlamda doğrulanabilir. Kendi kendinize barındırdığınızda, VPN katmanında trafiğinizi gören tek taraf sizsiniz. Barındırıcı, IP'nin var olduğunu ve trafiğin aktığını bilir; tünel içindeki içerik ise ona tamamen görünmezdir.
KYC yok, paylaşılan çıkış IP itibarı yok
Ticari VPN çıkış IP'leri sürekli olarak kara listeye alınır. 2026 itibarıyla büyük sağlayıcıların IP aralıklarının büyük çoğunluğu Cloudflare, Google captcha'ları, finansal hizmetler dolandırıcılık önleme sistemleri ve yayın hizmeti coğrafi kısıtlamaları tarafından işaretlenmektedir. Geçmişi olmayan taze bir veri merkezi IP'sindeki kendi barındırmalı uç nokta bunların neredeyse hiçbirine takılmaz — kötüye kullanılana dek; o noktada IP yanar ve yeni bir tane oluşturursunuz.
Maliyet
Ticari VPN: kullanıcı başına aylık 5–13 dolar. 1 GB / 1 vCPU VPS üzerinde kendi barındırma: aylık 5–8 dolar; tüm evi destekler ve WireGuard üzerinde 200 Mbps'e kolayca ulaşır. Kırılma noktası tek kullanıcıdadır.
Vazgeçtikleriniz
Çoklu ülke çıkış seçimi. Ticari bir VPN tek tıklamayla 50'den fazla çıkış ülkesi sunar; kendi barındırma yalnızca VPS'inizin bulunduğu ülkeyi sağlar. Çözüm, farklı yargı bölgelerinde iki veya üç sunucu çalıştırmaktır — yine de ticariden daha ucuzdur.
WireGuard ve OpenVPN karşılaştırması: protokol düzeyi
WireGuard'a kısa bakış
WireGuard, Jason Donenfeld tarafından tasarlanmış ve Mart 2020'de Linux çekirdeğine alınan modern bir VPN protokolüdür. Kod tabanı: yaklaşık 4.000 satır C (OpenVPN için yaklaşık 70.000'e karşılık). Linux'ta çekirdek alanında çalışır; bu da hız avantajının büyük bölümünün kaynağıdır. Kriptografi sabittir: simetrik şifreleme için ChaCha20-Poly1305, anahtar değişimi için Curve25519, karma için BLAKE2s; algoritma müzakeresi yoktur. Yapılandırma 4 ila 10 satırlık bir metin dosyasıdır.
OpenVPN'e kısa bakış
OpenVPN, 2001'den beri üretimde olan köklü standarttır. Kullanıcı alanında çalışır, kriptografi için OpenSSL veya mbedTLS kullanır, geniş bir şifre ve kimlik doğrulama yöntemi yelpazesini destekler ve uç sınıra kadar yapılandırılabilir. UDP'nin engellendiği bazı kısıtlı ağlar için zorunlu olan TCP aktarımı için yerel destek, sertifikalar aracılığıyla TLS tabanlı istemci kimlik doğrulaması ve PAM/RADIUS takılabilir kimlik doğrulama sunar. Olgun araç ekosistemi, kolay betikleme, kolay denetim ve iyi belgelenmiş operasyonel tuzaklar içerir.
Yan yana karşılaştırma
| Boyut | WireGuard | OpenVPN |
|---|---|---|
| Kod boyutu | ~4.000 satır | ~70.000 satır + OpenSSL |
| 1 Gbps bağlantıda iş hacmi | ~%95 hat hızı (~940 Mbps) | ~%50–70 hat hızı (500–700 Mbps) |
| El sıkışma süresi | ~1 RTT | ~6 RTT |
| Varsayılan UDP portu | 51820 | 1194 |
| TCP yedeklemesi | Hayır (udp2raw veya wstunnel kullanın) | Evet, yerel |
| Kripto çevikliği | Yok (sabit paket) | Tam |
| Mobil pil tüketimi | Düşük (çekirdek + dolaşım dostu) | Orta |
| Gizleme | Harici (udp2raw, awg) | obfsproxy, stunnel, tls-crypt-v2 |
| Denetim yüzeyi | Küçük, resmi doğrulanmış | Geniş, iyi incelenmiş |
| Operasyonel olgunluk | 2021'den beri güçlü | ~2008'den beri güçlü |
İş hacmi rakamlarının açıklaması
Tek vCPU ve 1 Gbps paylaşımlı bağlantıya sahip 10 dolarlık bir VPS'de WireGuard, barındırıcının bant genişliği şekillendiricisine veya kullanıcı alanı ağ yığınının CPU darboğazına çarpana dek bağlantıyı doyurur — 2026'da genellikle 800–940 Mbps. Aynı donanımda OpenVPN, TLS ek yükü ve kullanıcı alanı bağlam geçişi maliyeti nedeniyle yaklaşık 500–650 Mbps'de durur. 4K yayını yapan bir ev için her ikisi de fazlasıyla yeterlidir. Tünel üzerinden gigabaytlarca konteyner imajı çeken bir geliştirici için WireGuard gerçek anlamda zaman kazandırır.
OpenVPN'in hâlâ doğru tercih olduğu durumlar
UDP'yi engelleyen kısıtlı ağlar
UDP trafiğini düşüren otel, üniversite ve kurumsal ağlar WireGuard'ı tamamen bozar. TCP/443 üzerinden OpenVPN, L4 katmanında HTTPS'den ayırt edilemez ve geçiş sağlar. WireGuard, udp2raw veya wstunnel kullanılarak TCP üzerinden tünellenebilir; ancak bu ek bir hareketli parça demektir ve WireGuard'ın sadeliğinin bir kısmını ortadan kaldırır.
Yoğun gizleme gereksinimleri
Derin paket incelemesine dayalı VPN engellemesine sahip bir ülkede — Çin'in Büyük Güvenlik Duvarı, İran, Rusya'nın büyük VPN protokollerine yönelik son uygulamaları — aktif yoklamadan korunmanız gerekiyorsa, stunnel veya obfs4 ile kullanılan OpenVPN daha uzun bir geçmişe sahiptir. WireGuard'ın çözümü (AmneziaWG en aktif geliştirilen gizlenmiş çatal olarak öne çıkar) çalışır; ancak ekosistem daha gençtir.
Kullanıcı bazlı ayrıntılı kimlik doğrulama
Küçük bir ekip için VPN çalıştırıyorsanız ve bireysel kullanıcıları iptal etmeniz gerekiyorsa, OpenVPN'in PKI modeli (her kullanıcı bir sertifika alır, CRL ile iptal) WireGuard'ın "yapılandırmayı düzenle ve yeniden yükle" yaklaşımından daha ergonomiktir.
WireGuard'ın doğru tercih olduğu durumlar
Neredeyse her şey için: kişisel VPN, ev VPN'i, sık ağ geçişi olan mobil VPN, performans açısından hassas tüneller, düşük güçlü cihazlar ve sadeliğin operasyonel riski azalttığı her kurulum. 4 satırlık yapılandırma, yanlış yapılandırma için yüzey alanını son derece küçük tutar — OpenVPN gizlilik ihlallerinin yaygın bir nedeni, yapılandırmanın göz korkutuculuğu yüzünden insanların sıkıştırmayı açık bırakması (CRIME) veya eski şifreler kullanmasıdır.
Mobil istemciler
WireGuard'ın dolaşım davranışı — altta yatan ağ değiştiğinde tüneli sessizce yeniden kurma — OpenVPN'inkinden çok daha akıcıdır; OpenVPN'de yeniden bağlanmalar uygulamaları sık sık keser. Mobilde pil tüketimi farkı da gerçektir: WireGuard'ın çekirdek düzeyindeki verimliliği, her zaman açık VPN kullanan bir telefonda günlük pil kullanımından ölçülebilir yüzde puanları tasarruf ettirir.
İnsanların takıldığı kurulum tuzakları
MTU sıkıştırma
Her iki protokol de her pakete ek yük ekler (WireGuard için yaklaşık 60 bayt, OpenVPN için daha fazla). Temel ağın MTU'su 1500 ise ve iç MTU 1500'de kalırsa, büyük paketler parçalanır veya düşer — belirti şudur: "küçük şeyler çalışıyor, büyük aktarımlar takılıyor." VPS sunucusundaki düzeltme: iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu. WireGuard bir ölçüde kendi kendini ayarlar; ancak TCP-üzerinden-UDP-üzerinden-TCP senaryoları yine de sorun çıkarabilir.
Port 25 kötüye kullanımı ve spam itibarı sorunu
Saygın barındırıcıların büyük çoğunluğu varsayılan olarak giden TCP/25'i (SMTP) engeller — aksi takdirde ele geçirilen bir VPS saatler içinde spam aktarıcısına dönüşür. 2026 itibarıyla offshore VPS sağlayıcılarının neredeyse tamamı paylaşılan IP'lerde port 25'i engeller. Bunu aşmaya çalışmayın; gerçekten SMTP'ye ihtiyacınız varsa statik itibar IP'si talep edin ve daha uzun bir başlangıç sürecini kabul edin. VPN uç noktanızı varsayılan IP'de, posta sunucunuzu ise başka bir yerde çalıştırın.
ASN itibarı
Veri merkezi ASN'leri, Cloudflare, Google ve çoğu dolandırıcılık önleme sisteminden giderek artan captcha baskısıyla karşılaşır. Küçük offshore veri merkezi ASN'leri (İzlanda, Moldova, Panama'daki küçük/orta ölçekli IP aralıkları) genellikle büyük tüketici bulut ASN'lerinden daha temiz bir itibara sahiptir. Barındırıcıyı buna göre seçin. Bu konuda daha fazla bilgi için VPN barındırma kullanım senaryosuna bakın.
Öldürme anahtarı — PostUp/PostDown
Bir öldürme anahtarı, VPN tüneli düşerse cihazın trafik sızdırmak yerine göndermeyi durdurmasını sağlar. WireGuard bunu yapılandırmadaki PostUp/PreDown kancalarıyla temiz biçimde uygular — standart kalıp şudur: PostUp = iptables -I OUTPUT ! -o %i -m mark ! --mark $(wg show %i fwmark) -m addrtype ! --dst-type LOCAL -j REJECT. OpenVPN eşdeğeri --route-up ve --down-pre betikleridir. VPN sürecini elle sonlandırıp trafiğin akıp akmadığını izleyerek öldürme anahtarını test edin; akıyorsa anahtarın devreye girmediği anlamına gelir.
DNS sızıntıları
Her iki protokol de IP trafiği taşır; hiçbiri DNS'i otomatik olarak tünel üzerinden yönlendirmez. VPN istemcisini yalnızca tünel üzerinden erişilebilen bir DNS sunucusuna yönlendirecek şekilde yapılandırın (genellikle unbound veya dnscrypt-proxy çalıştıran VPS'in kendisi). Linux'ta resolvconf entegrasyonu kurun veya systemd-resolved'u doğru kapsam ile kullanın. Her büyük işletim sistemi veya istemci güncellemesinin ardından dnsleaktest.com ile test edin.
IPv6 sızıntıları
İstemcinizde IPv6 varsa ve VPN yalnızca IPv4 taşıyorsa, IPv6 trafiği tüneli atlayarak gerçek IP'nizi açığa çıkarır. Ya cihaz düzeyinde IPv6'yı devre dışı bırakın ya da VPN yapılandırmasını tünel içinde IPv6'yı da kapsayacak şekilde genişletin. WireGuard çift yığın tünellerini temiz biçimde destekler; OpenVPN de doğru sunucu yapılandırmasıyla bunu yapar.
İş için doğru VPS'yi seçmek
Kişisel veya ev kullanımlı kendi barındırmalı bir VPN için minimum teknik özellikler düşüktür: 1 GB RAM, 1 vCPU, 20 GB disk ve istediğiniz tünel hızını karşılayacak ağ kapasitesi. WireGuard neredeyse CPU kullanmaz; OpenVPN 500 Mbps üzerini zorluyorsanız fazladan bir çekirdekten yararlanır. Önce yargı bölgesi kılavuzunu kullanarak ülkeyi seçin, ardından sunucuyu boyutlandırın. Yedi yargı bölgesinde aylık 10 doların altındaki giriş seviyesi seçenekler için VPS planlarına göz atın ve kuruluma özgü notlar için VPN barındırma kullanım senaryosunu okuyun.
Operasyonel hijyen
- Sunucuyu her 6 ila 12 ayda bir yenileyin. Veri merkezi IP'leri zamanla yük biriktirir. Yeni bir VPS ve taze IP 9 dolara mal olur ve 10 dakika sürer — captcha'larla savaşmaktan daha ucuzdur.
- Parola ile SSH'yi devre dışı bırakın. Yalnızca anahtar, fail2ban veya sshguard; isteğe bağlı olarak günlük gürültüsünü azaltmak için 22 dışı bir port.
- Otomatik güncellemeleri çalıştırın. Çekirdek yamalarında bir yıl geride kalan bir VPN sunucusu, VPN'siz olmaktan daha tehlikelidir.
- İçeriği değil, trafiği izleyin. Basit bir
vnstatkurulumu bir şeylerin ters gittiğini söyler — ani yükleme doygunluğu genellikle sunucunun kötüye kullanıldığı anlamına gelir. - Kripto ile ödeyin, kayıt sırasında KYC yok. Kripto ödemeleri kılavuzu, her para birimi seçiminde barındırıcının sizin hakkınızda neler öğrendiğini ele alır.