รัน Monero Node เป็น Tor Hidden Service .onion ปี 2026

รัน Monero Node เป็น Tor Hidden Service .onion ของตัวเอง ปี 2026

หลังจาก ก.ล.ต. ไทยสั่งให้ศูนย์ซื้อขายสินทรัพย์ดิจิทัลในประเทศถอด privacy coin ออกจากกระดานตั้งแต่ปี 2565 และเข้มงวดต่อเนื่องเรื่อยมาจนถึง 2569 ผู้ใช้ Monero ในไทยที่เหลืออยู่ทุกวันนี้ต้องพึ่งช่องทาง P2P, atomic swap หรือบริการอย่าง MoneroSwapper เพื่อแลก XMR แบบไม่ผ่าน KYC ในประเทศ แต่หลังจากได้เหรียญมาแล้ว ปัญหาที่หลายคนมองข้ามคือคำถามว่า "คุณกำลังต่อ wallet ผ่าน remote node ของใครอยู่กันแน่?" ทุกครั้งที่เปิด Monero GUI, Feather Wallet หรือ Cake Wallet แล้วเชื่อมไปยังโนดสาธารณะสักแห่งบนอินเทอร์เน็ต โหนดปลายทางจะเห็น IP จริงของคุณ เห็นเวลาที่เริ่ม sync เห็นจังหวะการ broadcast ธุรกรรม และในกรณีเลวร้ายที่สุดที่โนดถูกตั้งเป็นกับดักโดยจงใจ ข้อมูลเหล่านี้สามารถถูกเก็บไว้ทำ chain analysis ระดับ metadata ได้ แม้ว่า ring signature, stealth address และ RingCT จะปิดบังรายละเอียดบนเชนเรียบร้อยแล้วก็ตาม

ทางแก้ที่ผู้ใช้สาย privacy ในไทยและทั่วโลกนิยมใช้คือการ self-host Monero node ของตัวเองและเปิดให้บริการผ่าน Tor hidden service หรือ .onion ของตัวเอง วิธีนี้ทำให้คุณเชื่อมต่อ wallet ผ่านเครือข่าย Tor ได้โดยไม่ต้องเปิดพอร์ตที่ home router ไม่ต้อง forward port ผ่าน NAT ของ ISP อย่าง True, AIS หรือ 3BB ไม่ต้องเปิดเผย IP จริงในที่สาธารณะ และยังเป็นการช่วยกระจายเครือข่าย Monero ให้แข็งแกร่งขึ้นด้วย คู่มือนี้เขียนสำหรับผู้ใช้ในไทยโดยเฉพาะ ครอบคลุมตั้งแต่การเลือก VPS, ติดตั้ง monerod, ตั้งค่า Tor, สร้าง .onion v3, ปรับ monerod.conf ให้รองรับ anonymous inbound, เชื่อมต่อ Feather Wallet ผ่าน .onion และการบำรุงรักษาระยะยาว เพื่อให้คุณตั้งโนดได้สำเร็จและใช้งานได้จริงในระดับ production

ทำไมต้องรัน Monero node ของตัวเองผ่าน Tor ในบริบทผู้ใช้ไทย

ก่อนลงมือติดตั้ง ควรเข้าใจก่อนว่า remote node สาธารณะที่หลายคนใช้กันโดยไม่คิด เช่น node.moneroworld.com, xmr-node.cakewallet.com หรือ public.stackwallet.com ทำหน้าที่ "ปลอม" ให้ wallet ของคุณดูเหมือนไม่ต้องดาวน์โหลด blockchain ทั้งก้อน แต่ราคาที่จ่ายคือคุณส่งคำขอเช็คยอดและคำสั่ง sendrawtransaction ผ่านคนแปลกหน้าโดยตรง สำหรับคนที่อุตส่าห์ซื้อ XMR ผ่าน atomic swap หรือบริการ swap แบบ non-KYC แล้ว การปิดท่อรั่วตรงนี้คือก้าวสำคัญที่สุดในการรักษา fungibility ของเหรียญ และเป็นการปิด attack surface ที่หลายคนลืม

• หน่วยงานกำกับในไทยจับตา privacy coin อย่างต่อเนื่อง: ตั้งแต่ ก.ล.ต. ไทยออกประกาศห้ามให้บริการแลก privacy coin บนกระดานในประเทศ และ ปปง. เพิ่มความเข้มของการตรวจจับธุรกรรม high-risk ผู้ใช้ในไทยที่ติดต่อกับ XMR ผ่าน remote node ของผู้ให้บริการต่างประเทศมีโอกาสโดน traffic correlation มากกว่าผู้ใช้ในประเทศที่อนุญาตให้เทรด privacy coin ได้เสรี การห่อทุกอย่างใน Tor ก่อนออกจากเครื่องคือชั้นป้องกันที่ลดความเสี่ยงนี้ได้มากที่สุดในระดับเทคนิค
• ISP ไทยเก็บ log ระยะยาวตามกฎหมาย: True, AIS, 3BB, NT และผู้ให้บริการรายอื่นตามกฎหมาย พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ฯ ต้องเก็บ log การใช้งานไว้อย่างน้อย 90 วัน หากคุณต่อ wallet เข้า remote node แบบ clearnet ทุกครั้งที่เปิดกระเป๋าจะปรากฏใน log ของ ISP ว่าเครื่องคุณคุยกับ IP ใดบ้าง พอห่อทุกอย่างใน Tor ISP เห็นแค่ traffic Tor ทั่วไปที่ไม่บอกได้ว่าเป็น Monero
• Public node บางตัวทำตัวเป็น honeypot: มีการศึกษาในชุมชน Monero ที่พบว่าโนดสาธารณะบางส่วนคอย log IP ของ client พร้อม timestamp และจับคู่ความสัมพันธ์ระหว่างคำขอ /get_blocks กับ /sendrawtransaction เพื่อ deanonymize ผู้ใช้ การรันโนดของตัวเองตัดปัญหานี้ออกทั้งหมดเพราะ wallet กับ daemon คุยกันบนเครื่องเดียวกันหรือผ่าน Tor end-to-end
• ค่าใช้จ่ายระยะยาวคุ้มกว่าที่คิด: VPS ในยุโรปจาก Hetzner CX22, Contabo VPS S หรือ BuyVM สำหรับรันโนดเริ่มต้นประมาณ 150-300 บาทต่อเดือน ถูกกว่าค่า slippage หรือ MEV ที่คุณอาจเสียจากการต่อ node ผิดในระยะยาว และยังถูกกว่าค่าไฟ + ค่าเน็ตถ้ารันที่บ้าน 24 ชั่วโมงในไทย
• คุณช่วยกระจายเครือข่าย Monero: ทุกโนดที่เปิด anonymous-inbound บน Tor จะช่วยให้ผู้ใช้รายอื่นในประเทศที่ถูก censor เช่น จีน อิหร่าน หรือแม้แต่ผู้ใช้ในไทยที่อยู่หลัง CGNAT ของ ISP มีจุดเชื่อมต่อใหม่ คุณช่วย propagate transaction และทำให้ Dandelion++ ทำงานได้ดีขึ้นโดยอัตโนมัติ

อีกประเด็นที่ผู้ใช้ในไทยมักเจอคือเครือข่ายมือถือ AIS, True 5G และ NT บางย่าน รวมถึง Wi-Fi ตามคาเฟ่หรือคอนโดมีการ shape หรือ block พอร์ต P2P ของ Monero (18080/18081) ทำให้ wallet sync ช้าหรือเชื่อมไม่ติดเลย การใช้ .onion ของตัวเองหลบเลี่ยงข้อจำกัดเหล่านี้ได้ทันที เพราะทุกอย่างวิ่งผ่านพอร์ต 9001 และ 9050 ที่กระจายทั่วไปและดูเหมือน traffic Tor ปกติ ไม่มี DPI ของ ISP ในไทยที่แยกแยะ Monero ออกจาก Tor traffic อื่นได้ตามปกติ

เตรียม VPS หรือเครื่องที่บ้านสำหรับรัน monerod

คำถามแรกที่ผู้ใช้ในไทยมักถามคือ "ควรรันที่บ้านหรือบน VPS ต่างประเทศ?" คำตอบขึ้นอยู่กับ threat model ของคุณ ถ้าคุณกังวลเรื่อง physical seizure มากกว่า network surveillance การรัน VPS ในยุโรปที่กฎหมายไม่บังคับให้เปิดเผยข้อมูลผู้ใช้ง่าย ๆ จะปลอดภัยกว่า แต่ถ้ากังวลเรื่องผู้ให้บริการ VPS โกหก คุณก็ต้องรันที่บ้านบน hardware ของตัวเอง สำหรับผู้ใช้ส่วนใหญ่ในไทยที่ใช้เน็ตบ้าน True/AIS/3BB ที่มี dynamic IP และ CGNAT การรันบน VPS เป็นทางเลือกที่ใช้งานได้จริงกว่ามาก

สเปกขั้นต่ำของเครื่องที่ต้องใช้ในปี 2026

Monero blockchain ในกลางปี 2569 มีขนาดประมาณ 220 GB และโตขึ้นเดือนละ 3-4 GB คุณควรเตรียมพื้นที่ดิสก์อย่างน้อย 400 GB เพื่อใช้งานได้ 2-3 ปีโดยไม่ต้องอัพเกรด สเปกอื่นที่แนะนำ:

• CPU: 2-4 vCPU ความเร็วอย่างน้อย 2.4 GHz หากใช้ AMD EPYC หรือ Xeon รุ่นใหม่จะ sync เร็วกว่าเด่นชัด
• RAM: 4 GB ขั้นต่ำ แนะนำ 8 GB หากเปิด --db-sync-mode fast หรือ run wallet RPC ด้วย
• ดิสก์: NVMe SSD 400 GB ขึ้นไป HDD ใช้ได้แต่ initial sync จะใช้เวลาเป็นสัปดาห์
• Bandwidth: 2-4 TB/เดือน เปิด anonymous inbound เต็มที่อาจใช้ 100-200 GB/เดือน
• OS: Ubuntu 24.04 LTS หรือ Debian 12 stable ทั้งคู่มีแพ็กเกจ tor ใน repo อย่างเป็นทางการ

สำหรับ VPS ในต่างประเทศที่ตรงสเปกในราคาเหมาะสมและไม่ต้องการ KYC จริงจัง ผู้ใช้ในไทยมักเลือก Hetzner (เยอรมัน, จ่ายด้วยบัตรเครดิตหรือ PayPal ได้), Contabo (เยอรมัน, ราคาถูก, ยอมรับ crypto บางช่วง), BuyVM/Frantech (ลาสเวกัส, รับ XMR โดยตรง) หรือ Njalla (ผ่าน proxy ของบริษัท, รับ crypto) ถ้าต้องการจ่ายด้วย XMR เพื่อให้สอดคล้องกับ threat model BuyVM และ Njalla เป็นตัวเลือกที่ตรงโจทย์ที่สุด

คำเตือน: หลีกเลี่ยงการใช้ VPS ในไทยหรือสิงคโปร์สำหรับงานนี้ เพราะตลาดเล็ก ผู้ให้บริการมัก KYC หนัก และอยู่ใต้กฎหมายที่ขอข้อมูลผู้ใช้ได้ง่ายผ่าน MLAT

ตั้งค่าระบบเบื้องต้นและสร้างผู้ใช้สำหรับ monerod

หลังเช่า VPS เสร็จและ ssh เข้าไปด้วย key (ไม่ใช่ password) ขั้นแรกคืออัพเดตระบบ ปิด root login และสร้าง user แยกสำหรับ monerod เพื่อหลักการ least privilege:

sudo apt update && sudo apt upgrade -y
sudo apt install -y curl gnupg ufw fail2ban htop unattended-upgrades
sudo adduser --disabled-password --gecos "" monero
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow 22/tcp
sudo ufw enable

สังเกตว่าเราไม่ได้เปิดพอร์ต P2P 18080 หรือ RPC 18089 ออกสู่ภายนอกเลย เพราะทุกอย่างจะวิ่งผ่าน Tor เท่านั้น นี่คือหัวใจของการตั้งโนดให้ "เงียบ" ในระดับ network firewall ใครก็ตามที่ scan VPS ของคุณจาก clearnet จะไม่เห็นว่ามี Monero ทำงานอยู่ พบแค่ ssh port เดียว

ดาวน์โหลด monerod และตรวจสอบลายเซ็น GPG

อย่าใช้ apt install monero ที่บางครั้งมีใน repo เพราะมักล้าสมัย ดาวน์โหลด binary ทางการจาก getmonero.org โดยตรงและตรวจ hash กับลายเซ็นของ binaryFate ซึ่งเป็น maintainer ของ release:

su - monero
cd ~
curl -LO https://downloads.getmonero.org/cli/linux64
curl -LO https://www.getmonero.org/downloads/hashes.txt
# ตรวจ sha256sum ของไฟล์ที่ดาวน์โหลดให้ตรงกับใน hashes.txt
sha256sum linux64
# ตรวจลายเซ็น GPG ของ hashes.txt (key fingerprint ของ binaryFate)
gpg --keyserver keyserver.ubuntu.com --recv-keys 81AC591FE9C4B65C5806AFC3F0AF4D462A0BDF92
gpg --verify hashes.txt
tar -xjf linux64
mv monero-x86_64-linux-gnu-* monero
mkdir -p ~/.bitmonero

การตรวจ GPG signature สำคัญมากเพราะ binary ที่ถูก tamper จะทำให้ทุกชั้น privacy ที่คุณวางไว้พังลงทันที ถ้าผลลัพธ์ของ gpg --verify ไม่ขึ้น "Good signature" หยุดทุกอย่างและสอบทาน fingerprint อีกครั้ง อย่ารัน binary ที่ตรวจไม่ผ่าน

ติดตั้ง Tor และสร้าง .onion v3 hidden service

Tor บน Ubuntu/Debian ติดตั้งได้ตรงจาก official Tor Project repo เพื่อให้ได้เวอร์ชันใหม่กว่าใน apt มาตรฐาน เปิดเซสชัน root อีกครั้ง:

sudo apt install -y apt-transport-https
echo "deb [signed-by=/usr/share/keyrings/tor-archive-keyring.gpg] https://deb.torproject.org/torproject.org $(lsb_release -cs) main" | \
  sudo tee /etc/apt/sources.list.d/tor.list
curl https://deb.torproject.org/torproject.org/A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89.asc | \
  sudo gpg --dearmor -o /usr/share/keyrings/tor-archive-keyring.gpg
sudo apt update
sudo apt install -y tor deb.torproject.org-keyring

หลังติดตั้งเสร็จ tor จะรันเป็น service ที่พอร์ต SOCKS 9050 บน localhost พร้อมแล้ว ต่อไปคือการบอก tor ให้สร้าง hidden service ใหม่ที่ map ไปยังพอร์ตของ monerod ของเรา แก้ไฟล์ /etc/tor/torrc โดยเพิ่มบรรทัดเหล่านี้ลงท้ายไฟล์:

HiddenServiceDir /var/lib/tor/monero/
HiddenServiceVersion 3
HiddenServicePort 18083 127.0.0.1:18083
HiddenServicePort 18089 127.0.0.1:18089

# กันการรั่วของ DNS เวลา monerod connect ออกไป
SocksPort 9050 IsolateDestAddr

ในที่นี้เราเปิดสองพอร์ตผ่าน .onion เดียวกัน: 18083 สำหรับ P2P (anonymous inbound เพื่อรับ peer คนอื่น) และ 18089 สำหรับ restricted RPC (ให้ wallet ของเราหรือเพื่อนเชื่อมต่อมา) บางคนแนะนำให้แยก hidden service สำหรับ RPC ออกจาก P2P เพื่อเพิ่มชั้น isolation ถ้าต้องการแบบนั้น สร้าง HiddenServiceDir แยกเป็น /var/lib/tor/monero-rpc/ และ /var/lib/tor/monero-p2p/ แทน

หลังจากแก้ไฟล์เสร็จ รีสตาร์ท tor และดึง .onion hostname ออกมา:

sudo systemctl restart tor
sudo cat /var/lib/tor/monero/hostname

ผลลัพธ์จะเป็น string ความยาว 56 ตัวอักษรลงท้ายด้วย .onion เช่น xmrnodelongrandomstringofcharactersa1b2c3d4e5f6g7h8i9j0k.onion เก็บค่านี้ไว้ดี ๆ คุณจะต้องใช้มันเวลาตั้งค่า monerod และเชื่อม wallet ส่วนไฟล์ private key ของ hidden service จะอยู่ใน /var/lib/tor/monero/hs_ed25519_secret_key ไฟล์นี้คือ "identity" ของโนดคุณบนเครือข่าย Tor หากหลุดออกไป คนอื่นสามารถ impersonate .onion ของคุณได้ ควร backup ไว้ที่ปลอดภัย (เช่น เข้ารหัสด้วย gpg แล้วเก็บใน USB offline)

เชื่อม monerod เข้ากับ Tor และเปิด P2P/RPC ผ่าน .onion

ตอนนี้เรามี monerod พร้อมรัน, tor พร้อมรัน และ .onion ที่ map ไปยังพอร์ตของ monerod แล้ว ขั้นต่อไปคือบอก monerod ว่าจะรับ traffic ขาเข้าผ่าน Tor ยังไง และจะ broadcast traffic ขาออกผ่าน Tor ยังไง สร้างไฟล์ config ที่ /home/monero/.bitmonero/monerod.conf:

# ที่อยู่ของ data dir และ log
data-dir=/home/monero/.bitmonero
log-file=/home/monero/.bitmonero/monerod.log
log-level=0
max-log-file-size=104857600

# ไม่ bind P2P/RPC ออกสาธารณะ
p2p-bind-ip=127.0.0.1
p2p-bind-port=18080
rpc-bind-ip=127.0.0.1
rpc-bind-port=18081
restricted-rpc=1
public-node=1

# Anonymous inbound ผ่าน .onion ของเรา
anonymous-inbound=yourxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx.onion:18083,127.0.0.1:18083

# Outbound ผ่าน Tor SOCKS proxy
tx-proxy=tor,127.0.0.1:9050,16
proxy=tor,127.0.0.1:9050

# ห้าม sync จาก clearnet peer (optional แต่แนะนำสำหรับ tor-only mode)
no-igd=1
no-zmq=1
out-peers=16
in-peers=64

# Restricted RPC สำหรับ wallet ที่จะเชื่อม
rpc-restricted-bind-ip=127.0.0.1
rpc-restricted-bind-port=18089

แทน yourxxxx...onion ด้วย .onion จริงที่คุณดึงออกมาในขั้นก่อน หัวใจของ config นี้คือ tx-proxy ที่บังคับให้ทุกธุรกรรมที่ออกจากโนดวิ่งผ่าน SOCKS proxy ของ Tor เพื่อ broadcast แบบไม่ระบุ IP origin จริง ผสมกับ Dandelion++ stem phase ทำให้แทบเป็นไปไม่ได้ที่จะ correlate ธุรกรรมกลับมาที่ wallet ของคุณ

สร้าง systemd service ให้รัน monerod อัตโนมัติ

เพื่อให้ monerod start ขึ้นมาเองทุกครั้งที่ VPS reboot และ restart อัตโนมัติเมื่อ crash สร้างไฟล์ /etc/systemd/system/monerod.service:

[Unit]
Description=Monero Daemon
After=network-online.target tor.service
Requires=tor.service

[Service]
User=monero
Group=monero
Type=simple
ExecStart=/home/monero/monero/monerod --config-file=/home/monero/.bitmonero/monerod.conf --non-interactive
Restart=always
RestartSec=15
TimeoutStopSec=120
LimitNOFILE=65536

[Install]
WantedBy=multi-user.target

เปิดใช้งานและสตาร์ท:

sudo systemctl daemon-reload
sudo systemctl enable monerod
sudo systemctl start monerod
sudo journalctl -u monerod -f

คุณควรเห็น log เริ่ม sync blockchain ทันที ในชั่วโมงแรกอาจดูช้าเพราะกำลังหา peer ผ่าน Tor ซึ่งช้ากว่า clearnet อย่างเห็นได้ชัด ขั้น initial sync บน NVMe + 4 core บน Hetzner ใช้เวลาประมาณ 4-7 วันถ้าเปิด --db-sync-mode fast:async:250000000 (เพิ่มในไฟล์ config ถ้าต้องการ) ส่วน sync บน HDD อาจกินเวลาเป็นสัปดาห์ครึ่ง อดทนรอและอย่ารีสตาร์ทบ่อย ๆ ระหว่าง sync

ทดสอบว่า .onion ใช้งานได้จริง

หลัง sync เสร็จ หรือระหว่าง sync ก็ตาม คุณสามารถทดสอบว่า hidden service ของคุณ reachable ได้จริงโดยใช้ torsocks ยิง curl จากเครื่องอื่น (เช่น โน้ตบุ๊กที่บ้าน):

torsocks curl -s http://yourxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx.onion:18089/get_info | head -50

ถ้าคุณเห็น JSON ที่มี field "height", "target_height", "version" กลับมา แสดงว่า .onion ของคุณรับ RPC request ได้สำเร็จผ่าน Tor แล้ว ถ้าคำสั่งค้างหรือ error ตรวจสอบ /etc/tor/torrc, journalctl -u tor และ /home/monero/.bitmonero/monerod.log ตามลำดับ ปัญหาที่พบบ่อยคือลืม restart tor หลังแก้ torrc หรือ permission ของ /var/lib/tor/monero ไม่ถูกต้อง (ต้องเป็นของ user debian-tor)

เชื่อม wallet และดูแลรักษาโนดในระยะยาว

ถึงตรงนี้คุณมี .onion ส่วนตัวที่รัน Monero node แล้ว ขั้นถัดไปคือบอก wallet ของคุณเองหรือเพื่อนสนิทให้เชื่อมต่อมายัง .onion นี้แทน remote node สาธารณะ wallet ในตลาดที่รองรับ .onion โดยตรงดีที่สุดในปี 2569 มีสองตัวหลัก:

• Feather Wallet (desktop): ตัวเลือกอันดับหนึ่งสำหรับ privacy power user ในไทย รองรับ Tor ในตัว เชื่อม .onion ได้ทันทีโดยไม่ต้องตั้ง torsocks ภายนอก เปิด Settings → Network → Remote node → กรอก .onion:18089 → Save แล้วเริ่มใช้งาน
• Monero CLI wallet (wallet-cli): สำหรับ power user ที่อยากคุมทุกอย่าง รัน ./monero-wallet-cli --daemon-address yourxxxx.onion:18089 --proxy 127.0.0.1:9050 บนเครื่องที่ลง Tor ไว้แล้ว ทุกการสื่อสารวิ่งผ่าน Tor end-to-end
• Monero GUI (Official): เปิด Settings → Node → Remote node → ใส่ .onion address และเปิด "Use Tor over OnionShare" หรือ Settings → Tor → enable หากใช้ Tails OS หรือ Whonix อยู่แล้ว
• Cake Wallet (mobile): รองรับ .onion ใน node settings ตั้งแต่เวอร์ชัน 4.x ใช้คู่กับ Orbot บน Android ได้

ขั้นตอนสรุปสำหรับการ rollout ครบวงจร

1. เช่า VPS Hetzner CX22 หรือ Contabo VPS S พร้อม Ubuntu 24.04 LTS เปิด ufw และ disable root ssh
2. สร้าง user monero แยกและดาวน์โหลด monero CLI binary พร้อมตรวจ GPG ของ binaryFate
3. ติดตั้ง tor จาก official Tor Project repo และเพิ่ม HiddenServiceDir ใน /etc/tor/torrc
4. รีสตาร์ท tor แล้วดึง .onion hostname ออกมาเก็บไว้ในที่ปลอดภัย
5. เขียน monerod.conf พร้อม anonymous-inbound, tx-proxy, restricted-rpc และ public-node
6. สร้าง systemd unit สำหรับ monerod พร้อม Restart=always และ Requires=tor.service
7. เริ่ม sync blockchain และรอ 4-10 วันให้ initial sync เสร็จสมบูรณ์
8. ทดสอบ .onion ด้วย torsocks curl จากเครื่องนอกเพื่อยืนยัน reachability
9. เชื่อม Feather Wallet หรือ Monero GUI ของคุณเข้า .onion address แทน remote node สาธารณะ
10. แบ่งปัน .onion address กับเพื่อนสนิทใน Matrix หรือ Signal เพื่อช่วยกระจายเครือข่าย

เคล็ดลับ: เก็บ /var/lib/tor/monero/hs_ed25519_secret_key เป็น backup เข้ารหัสไว้ออฟไลน์ ถ้า VPS โดน suspend หรือต้องย้ายไปผู้ให้บริการอื่น คุณสามารถ restore .onion address เดิมได้โดยไม่ต้องบอก peer ใหม่

การ monitor, อัพเดต และดูแลรายเดือน

หลังโนดรันเสถียรแล้ว ภาระการดูแลค่อนข้างต่ำ แต่มีงานประจำที่ควรทำ:

• ติดตาม Monero release: ทีม core ออก hard fork ประมาณปีละครั้ง คุณต้องอัพเดต binary ภายใน 1-2 สัปดาห์ก่อน fork เพื่อไม่ให้โนดหลุดจาก consensus ติดตาม github.com/monero-project/monero/releases หรือ subreddit r/Monero
• ดู bandwidth usage: ใช้ vnstat หรือ iftop ดูปริมาณ traffic ของ tor service ถ้าใกล้ quota ของ VPS ลด in-peers ลงเหลือ 32 ใน config
• Backup ed25519 secret key: ครั้งเดียวพอเพราะ key ไม่เปลี่ยน แต่อย่าลืมเข้ารหัสด้วย gpg --symmetric ก่อนเก็บ
• เปิด unattended-upgrades: ให้ระบบอัพเดต security patch อัตโนมัติ อย่าลืม sudo dpkg-reconfigure unattended-upgrades
• ตรวจ log สัปดาห์ละครั้ง: sudo journalctl -u monerod --since "1 week ago" | grep -i error เพื่อดูว่ามีอะไรผิดปกติหรือเปล่า
• ตรวจ peer connection: ./monerod print_pl onion จะแสดง peer .onion ที่เชื่อมอยู่ ยิ่งมาก ยิ่งดี

หากต้องการ harden เพิ่มเติม พิจารณาใช้ Whonix หรือ Qubes บนเครื่องไคลเอนต์ที่เชื่อม wallet เพื่อกัน IP leak ระดับ system-wide การจ่ายค่า VPS ด้วย XMR ผ่าน MoneroSwapper หรือบริการ swap เพื่อตัด link ระหว่าง identity ในชีวิตจริงกับโนดออกจากกัน และพิจารณาเปิด multiple .onion address สำหรับ P2P, RPC และ admin แยกจากกันเพื่อเพิ่ม compartmentalization

คำถามที่พบบ่อย

การรัน Monero node บน VPS ต่างประเทศผิดกฎหมายไทยหรือไม่?

การรันโนด Monero เพื่อใช้งานส่วนตัวไม่ผิดกฎหมายไทยในปี 2569 เพราะกฎหมายปัจจุบันห้ามเฉพาะการ "ให้บริการ" แลกเปลี่ยน privacy coin บนกระดานในประเทศโดยผู้ประกอบธุรกิจสินทรัพย์ดิจิทัล ส่วนการถือ ใช้ และรันโครงสร้างพื้นฐานเพื่อใช้งานเองยังเป็นเสรี อย่างไรก็ตาม การเปิดให้บุคคลภายนอกใช้โนดของคุณเพื่อทำธุรกรรมและรับค่าตอบแทนอาจถูกตีความว่าเป็นการให้บริการ ซึ่งเข้าข่ายที่ต้องระมัดระวัง ควรปรึกษาทนายความที่เชี่ยวชาญด้านสินทรัพย์ดิจิทัลหากตั้งใจทำเป็นบริการเชิงพาณิชย์

รันที่บ้านผ่าน True/AIS/3BB ได้ไหม จะติดปัญหาอะไรบ้าง?

รันได้ในระดับเทคนิคเพราะ Tor ออกจากบ้านผ่าน outbound connection ปกติที่ไม่ต้อง forward port แต่ปัญหาหลักคือเน็ตบ้านในไทยส่วนใหญ่อยู่หลัง CGNAT (โดยเฉพาะแพ็กเกจ fiber ราคาประหยัด) ซึ่งทำให้ inbound connection ไม่ทำงาน hidden service ของ Tor แก้ปัญหา CGNAT ได้ในตัวเองเพราะเป็น reverse circuit ผ่าน intro point อยู่แล้ว แต่ความเร็วและ uptime จะแย่กว่า VPS มาก ถ้ารันเฉพาะ wallet ส่วนตัวก็พอใช้ได้ แต่ถ้าจะให้คนอื่น depend on โนดของคุณ เลือก VPS จะดีกว่า

ใช้ bandwidth เดือนละเท่าไหร่หาก anonymous-inbound เปิดเต็ม?

โดยเฉลี่ยอยู่ที่ 80-200 GB/เดือน ขึ้นอยู่กับจำนวน peer ที่มาเชื่อมและขนาด block ที่ propagate ถ้าตั้ง in-peers=64 และไม่ rate limit จะแกว่งไปทางสูงของช่วง ถ้าตั้ง in-peers=16 และเปิด --limit-rate-up 8192 (8 MB/s) จะอยู่ในช่วงล่าง VPS ส่วนใหญ่ในยุโรปให้ bandwidth 20 TB/เดือนขึ้นไปอยู่แล้วจึงไม่เป็นปัญหาสำหรับเคสนี้ ยกเว้น VPS ราคาประหยัดมาก ๆ ที่จำกัด 1 TB/เดือนต้องระวัง

ปลอดภัยกว่าใช้ public remote node แบบเป็นรูปธรรมอย่างไร?

ความแตกต่างหลักอยู่ที่ใครรู้อะไร เมื่อใช้ public node ผู้ดำเนินการโนดเห็น IP จริงของคุณ, timestamps ทุกครั้งที่ wallet ขอ /get_blocks, รายการ output ที่ wallet ของคุณ scan และคำสั่ง sendrawtransaction ทั้งหมดที่คุณ broadcast ผ่านโนดนั้น ต่อให้เนื้อหา transaction encrypted ด้วย RingCT แล้ว metadata เหล่านี้ก็เพียงพอที่จะทำ timing correlation ในระดับสูง การรันโนดเองทำให้ทุกอย่างนี้อยู่บนเครื่องของคุณคนเดียว และเมื่อบวก Tor เข้าไปอีกชั้น ผู้สังเกตการณ์ภายนอกแม้แต่ ISP ก็เห็นแค่ traffic Tor ที่ไม่บอกได้ว่าคุณกำลังทำธุรกรรม Monero

ถ้า VPS โดน suspend จะกู้ .onion address เดิมกลับมาได้ไหม?

ได้ ถ้าคุณ backup ไฟล์ /var/lib/tor/monero/hs_ed25519_secret_key, hs_ed25519_public_key และ hostname ไว้ก่อน เมื่อย้ายไป VPS ใหม่ ให้ติดตั้ง tor แล้วคัดลอกสามไฟล์นี้กลับเข้า HiddenServiceDir ใหม่ ตั้ง permission ให้เป็น debian-tor:debian-tor และ chmod 700 ที่โฟลเดอร์ จากนั้น restart tor จะกลับมาที่ .onion เดิม สิ่งที่ต้อง resync คือ blockchain เพราะ data dir ของ monero มักไม่ได้ backup เนื่องจากขนาดใหญ่ ใช้เวลา 4-10 วันเหมือนตอน setup ครั้งแรก

ควรเปิด restricted RPC หรือ unrestricted RPC?

ใช้ restricted RPC (--restricted-rpc กับพอร์ต 18089) เสมอสำหรับ endpoint ที่เปิดให้คนอื่นเชื่อมต่อผ่าน .onion เพราะ RPC แบบ unrestricted มี endpoint สำหรับ admin เช่น set_log_level, save_bc, stop_daemon ที่ผู้ใช้ภายนอกไม่ควรเข้าถึงได้ ส่วน wallet ของคุณเองที่ต้องใช้ฟังก์ชันบางอย่าง เช่น sync และ submit transaction ทำงานบน restricted RPC ได้ครบถ้วนอยู่แล้ว ไม่จำเป็นต้องเปิด unrestricted ออกสาธารณะเลย

สรุป

การรัน Monero node เป็น Tor hidden service ของตัวเองคือก้าวเดียวที่ให้ผลตอบแทนด้าน privacy สูงที่สุดสำหรับผู้ใช้ XMR ในไทย หลังจากที่เลือกซื้อ Monero แบบ non-KYC ผ่านบริการอย่าง MoneroSwapper หรือ atomic swap เรียบร้อยแล้ว ถ้ายังคงต่อ wallet ผ่าน remote node ของคนอื่น ความพยายามทั้งหมดในการรักษาความเป็นส่วนตัวก็อาจรั่วได้ในชั้น metadata คู่มือนี้พาคุณตั้งโนดบน VPS ในยุโรปด้วยงบประมาณ 150-300 บาทต่อเดือน รวมการตั้งค่า monerod, tor, .onion v3, restricted RPC และเชื่อม wallet ของคุณเข้ามาที่โนดของตัวเอง

ถ้าคุณยังไม่มี XMR สำหรับเริ่มต้น หรือต้องการเติม XMR แบบไม่ผ่าน KYC เพื่อนำมา test โนดใหม่ที่เพิ่ง deploy ลองดู บริการแลก Monero แบบไม่ต้อง KYC ของเรา ที่รองรับ atomic swap จาก BTC, USDT และสกุลอื่นในเวลาไม่กี่นาที พร้อมส่ง XMR เข้า wallet ที่เชื่อมกับ .onion ของคุณเองได้ทันที เพื่อให้ทุก hop ของการเดินทางของเหรียญตั้งแต่การได้มาจนถึงการเก็บรักษาอยู่ในวงควบคุมความเป็นส่วนตัวของคุณคนเดียว