Свой VPN на VPS в 2026: полный гайд — выбор сервера, протокол, безопасность

Свой VPN на VPS — это арендованный виртуальный сервер у хостинг-провайдера, на котором вы сами развернули VPN-демон. В отличие от коммерческих сервисов вроде Дяди Вани или XConnect, здесь нет посредника между вами и интернетом: только вы, ваш сервер и хостер. Звучит как «полная свобода», но у этого подхода есть и оборотные стороны — настройка, обслуживание, ограниченный выбор локаций, и важные оговорки про приватность, которые часто упускают в популярных гайдах.

В этой статье — практический разбор по состоянию на май 2026: какой VPS взять (с прицелом на рублёвую оплату из РФ), какой протокол выбрать в условиях работы ТСПУ, какой инструмент автоматизации использовать, как обеспечить базовую безопасность, и когда self-hosted действительно выгоднее коммерческого сервиса, а когда нет. В тексте — три рабочих пути установки разной сложности, от «5 минут через GUI» до полного ручного контроля.

Когда self-hosted лучше коммерческого VPN, а когда нет

Это самый важный вопрос, который стоит решить до покупки VPS. Self-hosted выигрывает в одних сценариях и проигрывает в других:

Точка безубыточности обычно проходит на 12–18 месяцах: если коммерческий сервис берёте на 2–3 года и одной локации хватает — VPS обычно дешевле. Если ваше время дорого стоит и нужно «здесь и сейчас» — коммерческий VPN из нашего каталога сэкономит часы.

Шаг 1. Выбор VPS-провайдера

Главный вопрос — где можно платить рублями и где есть зарубежные локации с низким пингом до РФ. По состоянию на май 2026 года картина такая:

Российские провайдеры с зарубежными локациями (₽-оплата)

• Aeza — Москва, Финляндия (Хельсинки), Германия (Франкфурт), Нидерланды (Амстердам), Швеция (Стокгольм), плюс отдельные локации в Казахстане / США в зависимости от тарифной линейки. Тарифы стартуют от ~199–260 ₽/мес за 1 vCPU / 1 ГБ / 10–25 ГБ. Безлимитный трафик, типичный порт 200 Мбит/с – 1 Гбит/с. Часть локаций физически размещена в датацентрах Hetzner и Interxion.
• FirstByte — Россия, Европа, США, Азия. Тарифы от ~129 ₽/мес. Есть тестовый период 24 часа.
• RUVDS — более 10 Tier-III дата-центров в 9 странах, включая Москву, Цюрих, Лондон, Гонконг, Армению, Казахстан. Стабильно ~250–400 ₽/мес начальные тарифы.
• Justhost — Россия и Европа, бюджетные тарифы. По отзывам — лояльны к VPN-нагрузке и P2P.
• AdminVPS — Германия, Нидерланды, США (актуальные локации меняются — уточняйте в его панели) с прямой ₽-оплатой.

Важно: к 2026 году у Selectel фактически нет рабочих зарубежных локаций для частного VPN-хостинга — компания сфокусировалась на корпоративных решениях и ИИ-инфраструктуре. Для self-hosted VPN он больше не подходит.

Зарубежные провайдеры (карта Мир не работает)

• Hetzner Cloud (Германия, Финляндия) — лидер по соотношению цена/качество, CX22 за ~€3.8–4.5/мес. Hetzner российские карты напрямую не принимает; платить можно SEPA-инвойсом или зарубежной картой Visa/Mastercard. Бандвидс: ~20 ТБ/мес инклюзив на 1 Гбит/с, дальше €1/ТБ. Внимание: Hetzner агрессивно реагирует на abuse-нотификации (P2P, scan, спам) — за P2P периодически прилетают warning, после второго — suspend.
• DigitalOcean — регистрация открыта, но RU-карты на Stripe режутся. Только через виртуальные карты-посредники.
• Vultr — официально не принимает платежи из РФ.
• Contabo / OVH — статус для российских пользователей в 2026 году нестабильный, по сообщениям сообщества проходят через виртуальные карты с переменным успехом.

Шаг 2. Выбор протокола под ваши условия

Что работает в 2026 году в России и что не работает:

Кратко: внутри РФ — AmneziaWG или VLESS+Reality. За рубежом — обычный WireGuard. Семья без админ-навыков — Outline.

Шаг 3. Развёртывание — три пути по сложности

Путь A. AmneziaVPN-клиент (5 минут, для новичков)

Этот путь — самый простой, но мало кто о нём знает. Команда Amnezia.org сделала клиентское приложение, которое работает как полу-managed инсталлятор: вы покупаете VPS у любого хостера, в приложении Amnezia вводите его IP-адрес и SSH-ключ или пароль root. Клиент сам подключается по SSH, ставит Docker, разворачивает контейнер с AmneziaWG (по умолчанию) и выдаёт готовый QR-код и конфигурацию.

1. Купите VPS с Ubuntu 22.04 / 24.04 или Debian 11 / 12 у любого провайдера из списка выше. Виртуализация — KVM (не OpenVZ), минимум 512 МБ RAM, root-доступ или sudo-пользователь с возможностью включить root на время установки.
2. Скачайте AmneziaVPN-клиент с amnezia.org для вашей ОС (Win/Mac/Linux/iOS/Android).
3. В клиенте: «Подключение → Настроить собственный VPN». Введите IP-сервера и SSH-доступ (root + пароль или приватный ключ).
4. Когда клиент предложит выбрать протокол — оставьте по умолчанию AmneziaWG (рекомендованный для РФ). Установка идёт автоматически: типично 5–10 минут (зависит от скорости сети и pull Docker-образов).
5. После завершения клиент получит готовый конфиг и подключится. На других устройствах — отсканируйте QR-код из клиента или экспортируйте файл.
6. Проверьте: подключитесь и откройте ipinfo.io или 2ip.ru — должен показывать IP и страну вашего VPS.

Подходит, если: вы хотите свой VPN, но не хотите разбираться с консолью; вам достаточно одного протокола (AmneziaWG); семейный сценарий с экспортом конфига на 5–10 устройств.

Путь B. Панель 3x-ui для VLESS+Reality

Если хотите именно VLESS+Reality (лучшая маскировка под HTTPS) — поднимите панель управления 3x-ui. Это более гибкий вариант: можно иметь нескольких пользователей, разные протоколы одновременно, статистику. Подробная пошаговая инструкция — в нашей статье про VLESS+Reality; здесь — кратко:

1. Купите VPS, подключитесь по SSH.
2. Запустите одну команду установки: bash <(curl -Ls https://raw.githubusercontent.com/MHSanaei/3x-ui/master/install.sh)
3. Запишите выведенные на экран реквизиты доступа — случайный порт, логин, пароль, base path. Без них на панель не попадёте.
4. В веб-интерфейсе создайте Reality-inbound на порту 443. Detail-инструкция — в отдельной статье по ссылке выше.

Путь C. WG-easy для чистого WireGuard (если вы вне РФ)

Если вы физически за рубежом или у вас домашний провайдер без ТСПУ, и нужен простой WireGuard — WG-easy самое удобное решение. Это веб-панель поверх wg-quick. Подходящие версии: ghcr.io/wg-easy/wg-easy:14 (стабильная с привычным env-флагом пароля). Версия 15+ поменяла процесс инициализации, поэтому для воспроизводимости команд ниже пин на тег :14.

1. Включите IP forwarding и загрузите модуль WireGuard:sudo modprobe wireguard
echo "wireguard" | sudo tee /etc/modules-load.d/wireguard.conf
echo "net.ipv4.ip_forward=1" | sudo tee /etc/sysctl.d/99-wg.conf
sudo sysctl -p /etc/sysctl.d/99-wg.confЕсли modprobe упал с ошибкой — у вас OpenVZ-виртуализация, WireGuard работать не будет; смените тариф на KVM.
2. Установите Docker:curl -fsSL https://get.docker.com | sh
3. Сгенерируйте bcrypt-хэш пароля для входа в веб-панель:docker run -it ghcr.io/wg-easy/wg-easy:14 wgpw 'ваш-пароль'Результат — длинная строка вида $2b$12$…. Важно: в этой строке есть символы $, которые bash интерпретирует. Когда подставляете в команду docker run, оборачивайте всю строку в одинарные кавычки или экранируйте каждый $ как \$.
4. Запустите WG-easy:docker run -d --name wg-easy --restart unless-stopped \
-e WG_HOST=ВАШ_IP \
-e PASSWORD_HASH='ВЕСЬ_ХЭШ_В_ОДИНАРНЫХ_КАВЫЧКАХ' \
-p 51820:51820/udp -p 51821:51821/tcp \
--cap-add=NET_ADMIN --cap-add=SYS_MODULE \
-v ~/.wg-easy:/etc/wireguard \
ghcr.io/wg-easy/wg-easy:14
5. Откройте файрвол: порт 51820/udp — для самого WireGuard, порт 51821/tcp — для веб-интерфейса. В файрволе сервера разрешите оба (см. раздел безопасности ниже). Веб-интерфейс желательно потом закрыть на публичный IP и заходить через SSH-туннель — но для первого подключения откройте 51821/tcp.
6. В браузере откройте http://ВАШ_IP:51821, введите пароль (тот, что вы хэшировали — не сам хэш!). В интерфейсе нажмите «New Client», задайте имя устройства. Скачайте сгенерированный .conf или отсканируйте QR-код в приложении WireGuard на смартфоне.
7. Подключите клиент и проверьте. Импортируйте конфиг в приложение WireGuard, активируйте подключение, откройте ipinfo.io или 2ip.ru — должен показывать IP и страну вашего VPS.

WG-easy также умеет генерировать AmneziaWG-конфиги (включается параметром в настройках интерфейса), если у вас на стороне клиента AmneziaWG-приложение. То есть один и тот же сервер можно использовать и для классического WireGuard (для пользователей вне РФ), и для AmneziaWG (для пользователей внутри).

Базовая безопасность сервера

Сразу после установки VPN-демона — настройте основы. Это занимает 10–15 минут, но снимает 90% типичных рисков.

1. SSH только по ключам, root отключить. В /etc/ssh/sshd_config поставьте: PasswordAuthentication no, PermitRootLogin no. Сначала создайте обычного пользователя с sudo, добавьте ему ключ, проверьте вход — потом отключайте root. Всегда держите второе SSH-окно открытым во время этих изменений — если первая сессия отвалится из-за ошибки в конфиге, через второе вы откатите изменения.
2. Поставьте fail2ban для защиты от брутфорса:
   sudo apt install fail2ban -y && sudo systemctl enable --now fail2banПо умолчанию защищает SSH; брут-попытки снизятся в разы.
3. Включите UFW (файрвол). Разрешите только нужные порты:
   sudo ufw default deny incoming
sudo ufw allow 22/tcp # SSH (или ваш кастомный порт)
sudo ufw allow 443/tcp # VLESS/Reality
sudo ufw allow 51820/udp # WireGuard
sudo ufw allow 51821/tcp # веб-интерфейс WG-easy (потом лучше закрыть)
sudo ufw enable
4. Включите unattended-upgrades для автоматических security-патчей:
   sudo apt install unattended-upgrades -y && sudo dpkg-reconfigure -plow unattended-upgrades
5. Отключите подробные логи VPN-демона. В конфиге Xray уменьшите loglevel до warning; в WireGuard явно ничего не пишите про логи (по умолчанию их нет). Это снижает риск, если сервер скомпрометируют.

Сколько это стоит на самом деле

Точка безубыточности обычно достигается на 12–18 месяцах. Если планируете пользоваться 2+ года и одной локации достаточно — self-hosted чаще выгоднее. Если ваше время стоит дорого или нужно много локаций — берите коммерческий.

Подводные камни и операционные риски

Частые вопросы