Hierro barato para servidor VPN: qué elegir en 2025

Si estás leyendo esto, probablemente ya hayas probado VPN gratuitas que ralentizan la velocidad de forma vergonzosa, o servicios pagos que funcionan a veces y a veces no. Tu propia infraestructura es otro nivel de control. Pero ¿qué hardware barato para servidor VPN realmente vale la pena comprar y qué es tirar dinero al viento? Lo analizaremos concretamente: placas únicas, mini-PC, enrutadores, cifras reales de rendimiento y —lo que es importante para Rusia— qué protocolo no bloqueará la FRS en un mes.

Por qué levantar tu propio servidor VPN y qué hardware se necesita

Un servicio VPN pagado es un servidor ajeno, un protocolo ajeno y una dirección IP ajena. No controlas cómo exactamente el tráfico se disfraza de HTTPS legítimo, no puedes cambiar el protocolo en respuesta a nuevos bloqueos. Tu propio servidor es libertad total de configuración.

Esto es especialmente importante en Rusia, donde la DPI (Inspección Profunda de Paquetes) de los proveedores puede reconocer y bloquear firmas de protocolos populares. Cuando la FRS emite un mandato, el proveedor cierra el tráfico a través del equipo TSPU. Si tienes tu propio protocolo con enmascaramiento adecuado, simplemente cambias la configuración sin esperar a que el servicio se actualice.

Tu propio servidor vs VPN pagado: cuál es la diferencia real

El VPN pagado te da un clic y una aplicación lista. Tu propio servidor requiere 2-4 horas de configuración inicial y entender qué está sucediendo. Pero la dirección IP te pertenece solo a ti —sin "esta dirección está bloqueada porque 500 personas la usaban en un servicio".

Otro punto: los servicios VPN rusos bajo presión de la FRS periódicamente se retiran del mercado o comienzan a filtrar tráfico. Un servicio extranjero no está bajo jurisdicción rusa, pero puede ser bloqueado en sí mismo. Tu propio servidor en un VPS extranjero es el término medio dorado.

Requisitos mínimos de hardware para WireGuard y VLESS/XRay

WireGuard es minimalista: funciona con 256 MB de RAM y un núcleo de procesador. Realmente en Orange Pi Zero con 512 MB de RAM WireGuard se levanta sin problemas, solo no esperes 1 Gbps.

VLESS/XRay con Reality requiere un poco más: mínimo 512 MB de RAM, preferiblemente 1 GB. XRay está escrito en Go, sin compilación JIT, pero tampoco es especialmente pesado. En Raspberry Pi 4 con 2 GB de RAM funciona perfecto, la carga de CPU con tráfico activo es del 20-40%.

Shadowsocks-2022 por carga de CPU es aproximadamente como WireGuard, pero añade sobrecarga de cifrado. En ARM Cortex-A53 débiles (Orange Pi Zero, Pi antiguos) esto es notable.

Dónde ubicar físicamente el servidor: en casa, en VPS o con un proveedor

En casa: necesitas una IP estática (o DDNS) y puertos abiertos. Muchos proveedores rusos están detrás de CGNAT —las conexiones entrantes son físicamente imposibles sin configuración adicional. Verifica de antemano: si tu IP externa comienza con 100.64.x.x o 10.x.x.x —tienes CGNAT.

VPS en el extranjero (Hetzner, DigitalOcean, Vultr) es la opción óptima. Desde $3-5/mes para un servidor básico en Alemania o Finlandia. IP estática incluida. Sin problemas con CGNAT ni conexiones entrantes.

иями.

Домашнее железо + зарубежный VPS — комбо для параноиков и перфекционистов: всё управление у вас, выходной трафик через зарубежный IP.

Топ дешёвых вариантов железа для VPN-сервера

Поговорим о конкретных устройствах с реальными ценами. Цены актуальны на начало 2025 года, ориентируйтесь на Ozon/Wildberries/AliExpress — разброс есть, но порядок цифр примерно такой.

Одноплатники: Raspberry Pi 4/5, Orange Pi, Banana Pi — цены и производительность

Raspberry Pi 4 (2 ГБ) — около 4000-5500 рублей на Ozon (с учётом серых поставок). Процессор Cortex-A72 на 1.8 ГГц даёт ~400-600 Мбит/с с WireGuard в реальных условиях. Гигабитный Ethernet есть. Поддержка сообщества огромная — любой вопрос решается за 5 минут гугления.

Raspberry Pi 5 (4 ГБ) — ~7000-9000 рублей. Cortex-A76, заметно быстрее, но требует отдельного активного охлаждения для 24/7 работы. Некоторые старые образы для Pi 4 на нём не запускаются — проверяйте совместимость образа ОС перед скачиванием.

Orange Pi 3 LTS — 2500-3500 рублей. Allwinner H6, Cortex-A53. Производительность ниже Pi 4 примерно вдвое: WireGuard ~150-250 Мбит/с. Для одного-двух пользователей вполне хватает. Покупайте только официальный вариант — на AliExpress встречаются клоны с другими чипами флеш-памяти, у которых зависает ОС.

Banana Pi M5 — ~3500-4500 рублей. Amlogic S905X3, тот же Cortex-A55 класс. Неплохая альтернатива Orange Pi, но документация хуже.

Мини-ПК: N100, Celeron J4125 — лучший баланс цены и мощности

Intel N100 — это другой уровень. x86-архитектура, AES-NI из коробки, что даёт аппаратное ускорение для OpenVPN и других протоколов с AES-шифрованием. Мини-ПК на N100 стоят 8000-12000 рублей на Ozon (бренды типа BMAX, MinisForum, Trigkey).

WireGuard на N100 выдаёт 900+ Мбит/с — почти гигабит. XRay с VLESS+Reality — 400-600 Мбит/с даже с тяжёлым TLS. Это уже сервер уровня небольшого офиса, не просто личный VPN.

Celeron J4125 — чуть старше, ~6000-9000 рублей за готовый мини-ПК. Производительность немного ниже N100, но AES-NI тоже есть. Хороший вариант если нашли по скидке.

Старый ноутбук или ПК как VPN-сервер: когда это оправдано

Если у вас дома валяется ноутбук с Core i3/i5 и 4 ГБ RAM — это бесплатное железо для VPN-сервера. Встроенный аккумулятор работает как UPS при отключении электричества. Минусы: 15-45 Вт потребления против 3-5 Вт у Raspberry Pi, плюс шум вентилятора.

Для постоянного использования это невыгодно экономически — за год разница в электричестве набегает 1500-4000 рублей. Но для тестирования или временного сервера — отлично.

Роутеры с OpenWRT: GL.iNet, TP-Link — самый компактный вариант

GL.iNet Beryl AX (MT3000) — 6000-8000 рублей. MediaTek MT7981B, 256 МБ RAM, WireGuard прямо из коробки в веб-интерфейсе. Потребление ~5 Вт. Но есть нюанс: порт 2.5G там один, остальные — 1G. ДлPara la mayoría no es un problema.

Una limitación importante de todos los routers baratos: si tienes puertos Fast Ethernet (100 Mbit/s), este es el límite físico de velocidad, ningún software ayudará. Consulta las especificaciones de los puertos antes de comprar.

TP-Link Archer C7 y similares en OpenWRT funcionan, pero la CPU es débil — WireGuard alcanzará 50-80 Mbit/s como máximo. Para un usuario es aceptable, para una familia ya no.

Tabla comparativa: precio / consumo / velocidad WireGuard

Dispositivo	Precio (rublos)	CPU	RAM	WireGuard (Mbit/s)	Consumo
Orange Pi 3 LTS	2500–3500	Cortex-A53 × 4	2 GB	~150–250	~3 W
Raspberry Pi 4 (2 GB)	4000–5500	Cortex-A72 × 4	2 GB	~400–600	~4 W
Raspberry Pi 5 (4 GB)	7000–9000	Cortex-A76 × 4	4 GB	~700–900	~5–8 W
GL.iNet Beryl AX	6000–8000	MT7981B × 2	256 MB	~300–400	~5 W
Mini PC N100	8000–12000	Intel N100 × 4 (x86)	8–16 GB	~900+	~10–15 W
Mini PC J4125	6000–9000	Celeron J4125 × 4	4–8 GB	~700–800	~8–12 W

Qué protocolo elegir para tu servidor bajo bloqueos de RKN

Esta es la sección más importante si vives en Rusia. Puedes comprar hardware de servidor VPN barato ideal, pero si el protocolo se bloquea después de 2 semanas — todo es en vano.

WireGuard: rápido, pero fácil de bloquear por UDP

WireGuard es un protocolo técnicamente superior. Código minimalista (alrededor de 4000 líneas), criptografía rápida Curve25519/ChaCha20, bajo ping. En un mundo sin DPI — la opción ideal.

En Rusia — es un problema. WireGuard funciona sobre UDP y tiene firmas características en los primeros paquetes del apretón de manos. El equipo TSPU de los proveedores lo reconoce y bloquea. Además, algunos ISP aplican UDP-throttling: no bloquean explícitamente, pero reducen el tráfico UDP a 5-10 Mbit/s. Pensarás que funciona, solo lentamente.

VLESS + XRay + Reality: la mejor opción para eludir DPI en Rusia

VLESS con transporte Reality — hoy en día es la opción más resistente a DPI. Reality enmascara la conexión como un verdadero apretón de manos TLS con un dominio real (por ejemplo, microsoft.com o apple.com). DPI ve HTTPS legítimo en el puerto 443 — nada que bloquear.

XRay — es un fork de V2Ray con características adicionales, incluido Reality. Se instala con un solo comI notice you've provided text in Russian and code snippets, but requested a translation to Spanish. Let me provide the HTML translation to Spanish: ```html

andoy a través del script oficial. En una mini PC con N100 funciona perfectamente. En Orange Pi Zero con Cortex-A53 — lentamente, porque no hay aceleración de hardware AES, y XRay carga el CPU en 70-80% con tráfico de 100 Mbit/s.

Shadowsocks-2022: un compromiso entre velocidad y enmascaramiento

Shadowsocks-2022 — una versión actualizada del protocolo antiguo con criptografía mejorada (AEAD-2022). El enmascaramiento es peor que Reality, pero mejor que WireGuard puro. El tráfico se ve como datos aleatorios, lo que ya dificulta el análisis de firmas.

La principal ventaja para hardware débil: la carga del CPU es menor que XRay. En Orange Pi 3 LTS, la diferencia en carga de CPU entre Shadowsocks-2022 y XRay puede alcanzar 30-40%. Si tienes una placa ARM Cortex-A53 — Shadowsocks-2022 es una opción más práctica.

Amnezia VPN: una solución lista sobre hardware ordinario

Amnezia — un proyecto ruso de código abierto que toma WireGuard y agrega paquetes basura (junk packets) antes del handshake real. DPI no puede reconocer la firma de WireGuard porque ve una secuencia de paquetes no estándar.

AmneziaWG funciona prácticamente en cualquier hardware donde funciona WireGuard regular — los gastos generales son mínimos. Las aplicaciones cliente existen para Android, iOS, Windows, macOS. Una buena solución si ya has configurado WireGuard y quieres agregar rápidamente protección DPI sin reinstalar todo.

OpenVPN e IKEv2: cuándo todavía tiene sentido usarlos

OpenVPN por TCP en el puerto 443 — un esquema antiguo pero funcional. El tráfico se ve como HTTPS para la mayoría de proveedores sin análisis profundo. La velocidad es 30-50% inferior a WireGuard, la carga del CPU es mayor. Pero funciona casi en todas partes y es compatible con absolutamente todos los clientes.

IKEv2 — para escenarios corporativos e iOS (soporte integrado). En el contexto de eludir bloqueos de RKN — una opción débil: se bloquea relativamente fácil. Úsalo solo si necesitas compatibilidad con una solución corporativa específica.

Configuración paso a paso del servidor VPN en hardware económico

Instalación del SO: Debian/Ubuntu vs Alpine Linux para ahorrar recursos

En Raspberry Pi 4 usa Raspberry Pi OS Lite (64-bit) — es un Debian optimizado para esta plataforma. Descárgalo desde raspberrypi.com oficial, la versión sin escritorio (Lite). Escribe usando Raspberry Pi Imager — también configura SSH y hostname antes del primer arranque.

Para mini PC en x86 — Debian 12 Bookworm Minimal o Ubuntu Server 24.04 LTS. Alpine Linux ahorra RAM, pero los repositorios son más pobres y algunos paquetes necesitan compilarse manualmente. Para un principiante es un dolor de cabeza innecesario.

Instalación de WireGuard en 10 minutos: comandos y configuración

En Debian/Ubuntu:

apt update && apt install -y wireguard
wg genkey | tee /etc/wireguard/server_private.key | wg pubkey > /etc/wireguard/server_public.key
chmod 600 /etc/wireguard/server_private.key

Configuración /etc/wireguard/wg0.conf:

[Interface]

```# Clave privada del servidor PrivateKey = <contenido de server_private.key> # Dirección del servidor en la red VPN Address = 10.0.0.1/24 # Puerto — mejor no estándar, pero si el proveedor bloquea UDP — problema ListenPort = 51820 # Habilitamos el reenvío de tráfico PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE [Peer] # Clave pública del cliente PublicKey = <client_public.key> AllowedIPs = 10.0.0.2/32

Habilitar e iniciar:

echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
sysctl -p
systemctl enable wg-quick@wg0
systemctl start wg-quick@wg0

Si su proveedor bloquea el tráfico UDP en puertos no estándar — cambie ListenPort a 53 (DNS) o use wstunnel para envolver WireGuard en WebSocket.

Instalación de XRay/VLESS con Reality en mini PC o placa única

Script oficial de instalación de XRay (versión 1.8.x y superior):

bash -c "$(curl -L https://github.com/XTLS/Xray-install/raw/main/install-release.sh)" @ install

Después de la instalación, la configuración se encuentra en /usr/local/etc/xray/config.json. Para Reality necesita generar un par de claves:

xray x25519

En la configuración especifica "dest": "www.microsoft.com:443" — XRay reenviará las conexiones no reconocidas a Microsoft, creando un disfraz convincente.

Conexión de clientes: Android, iPhone, Windows, router

WireGuard Android/iOS: aplicación oficial de WireGuard desde Play Store/App Store. Genera un código QR de la configuración con el comando qrencode -t ansiutf8 < client.conf, escanea con el teléfono.

VLESS/XRay en Android: aplicación v2rayNG (Google Play). Copia el enlace del tipo vless://uuid@ip:443?..., lo insertas en la aplicación.

VLESS/XRay en iOS: aplicación Streisand o Shadowrocket (de pago, $2.99). Importa el mismo enlace.

Windows: para WireGuard — cliente oficial wireguard.com, importación del archivo .conf. Para XRay — Nekoray o Hiddify.

Monitoreo y seguridad: fail2ban, actualizaciones automáticas

Conjunto mínimo para la seguridad:

apt install -y fail2ban unattended-upgrades
systemctl enable fail2ban
dpkg-reconfigure -plow unattended-upgrades

Fail2ban cierra el ataque de fuerza bruta SSH automáticamente. Unattended-upgrades instala parches de seguridad sin su intervención. Cambie el puerto SSH de 22 a algo no estándar y deshabilite la autenticación por contraseña — solo claves.

Lo que no funciona y errores típicos al elegir hardware

Por qué la IP doméstica no es adecuada para VPN en Rusia

Incluso si ha resuelto el problema de CGNAT y ha obtenido una IP estática de su proveedor — la dirección IP doméstica es problemática por otra razón.Los proveedores rusos tienen derecho y capacidades técnicas para bloquear direcciones IP específicas de sus usuarios por solicitud. Además, su IP está en el rango de un proveedor ruso; algunos servicios extranjeros lo filtran adicionalmente.

Esquema correcto: hardware casero + VPS en el extranjero como nodo de salida. En casa hay una Raspberry Pi o mini-PC, se conecta mediante un túnel a su servidor en Alemania, todo el tráfico pasa a través de la IP alemana. Así nadie conoce su dirección de casa.

Enrutadores sin NAT de hardware: cuello de botella en velocidad

Muchos enrutadores económicos con OpenWRT no tienen aceleración de hardware para NAT. Con tráfico VPN, todo el reenvío va a través de la CPU, que en los enrutadores MIPS de 2016-2018 es francamente débil. La velocidad real puede ser 20-40 Mbps con teóricos 300 Mbps del enrutador.

GL.iNet en MediaTek MT7621/MT7981 es mejor; Software Flow Offloading funciona allí y proporciona un aumento notable. Pero el hardware anterior a 2020 con procesador MIPS para un servidor VPN es basura, no pierda tiempo.

Placas de una sola placa con Ethernet de 100 Mbps: límite oculto

Orange Pi Zero, Banana Pi M2 Zero, algunos Raspberry Pi tempranos; tienen físicamente Ethernet de 100 Mbps o solo WiFi. WireGuard puede ofrecer 300 Mbps por CPU, pero la red será el cuello de botella en 100 Mbps. Verifique las especificaciones antes de comprar.

Raspberry Pi 4 y 5: Ethernet Gigabit. Orange Pi 3 LTS: también gigabit. Este es el mínimo para un uso normal.

Calor y estabilidad: problemas del funcionamiento 24/7 del hardware barato

Raspberry Pi 4 sin enfriamiento bajo carga continua se reduce de 1800 MHz a 600 MHz. Este es un problema real para un servidor VPN 24/7. Compre una carcasa con disipador pasivo por 300-500 rublos; resuelve completamente el problema sin un solo ventilador.

Las mini-PC chinas baratas tipo "sin marca N100" a veces tienen un módulo WiFi inestable y una fuente de alimentación mediocre. Conéctese por Ethernet, WiFi no es necesario para un servidor. Tome la fuente de alimentación con margen; una barata de 12V/1A bajo carga puede tener caídas.

Una historia separada: los proveedores baratos en ubicaciones exóticas ($1/mes por VPS en Moldavia o Kazajstán): cortes de energía, conexión inestable, a veces simplemente desconectados por varias horas. Hetzner, Contabo, DigitalOcean: pague $2 más, pero dormirá tranquilo.

Alternativa a su propio servidor: cuándo elegir un VPN listo

Cuándo el alojamiento independiente no es práctico

Su propio servidor VPN en hardware barato es un proyecto. No una aplicación, no una suscripción, sino un proyecto con configuración inicial, mantenimiento periódico y resolución de problemas como "el servidor se congeló a las 3 de la mañana y todos en casa sin internet".

Calculemos el TCO real: Raspberry Pi 4 (~5000 rublos únicamente) + carcasa con enfriamiento (~500 rublos) + tarjeta microSD (~600 rublos) = ~6100 rublos únicamente. Electricidad: ~4 W × 24 h × 30 días × 6 rublos/kWh = ~17 rublos por mes. VPS en el extranjero (Hetzner CX11, 2 GB RAM, Alemania) = ~$3.5/mes ≈ 320 rublos.

Total: ~6100 rub entrada + ~340 rub/mes. En 6 meses esto es ~8100 rubles. Más tu tiempo en configuración y soporte.

Un servicio VPN listo para usar con soporte normal para eludir bloqueos cuesta 100-500 rubles por mes. En 6 meses — 600-3000 rubles, cero tiempo de configuración. Para usuarios no técnicos la elección es obvia.

NvoVPN y otros servicios como alternativa lista sin hardware

Si no quieres lidiar con configuraciones y actualizaciones, un servicio listo es una opción razonable. NvoVPN, por ejemplo, ya soporta protocolos modernos para eludir DPI y no requiere comprar hardware alguno — simplemente descargas la aplicación y te conectas.

Tu propio servidor tiene sentido si: tienes conocimientos técnicos y deseo de controlar cada aspecto, estás listo para invertir tiempo, o tienes requisitos específicos (por ejemplo, una IP de salida particular para trabajar con ciertos servicios). En otros casos — evalúa sobriamente si vale la pena.

<дов плюс разовая покупка платы ~4000-5500 рублей. Aproximadamente comparable con un buen servicio VPN, pero requiere habilidades técnicas y tiempo de soporte.