Glossário
O que é um vazamento de IPv6
Quando tráfego IPv6 escapa de uma VPN que tunela só IPv4, expondo seu endereço IPv6 real pros sites que você visita.
IPv6 é a próxima geração de endereçamento de internet — endereços de 128 bits escritos como 2001:db8::1 em vez do 192.0.2.1 do IPv4. A maior parte dos provedores domésticos em 2026 atribui ambos. A maior parte dos protocolos VPN tunela só IPv4 por default.
Isso cria um vazamento. Quando você carrega um site alcançável via IPv6, seu navegador pode preferir o endereço IPv6 e conectar diretamente pela sua interface real. A VPN diz que você está em Frankfurt; o site loga seu endereço IPv6 real do seu provedor doméstico.
Por que isso é uma dor específica do Windows
Windows prefere IPv6 sobre IPv4 agressivamente quando ambos estão disponíveis. O algoritmo "Happy Eyeballs" tenta IPv6 primeiro, faz fallback pra IPv4 só se IPv6 falha rápido. A maioria dos sites grandes (Google, Cloudflare, Akamai, Facebook) é dual-stack — anuncia ambos. Windows escolhe IPv6.
Quando a VPN tunela só IPv4, IPv6 toma a interface subjacente. Seu navegador abre uma conexão pro YouTube via IPv6, a conexão vai pelo seu roteador doméstico, seu endereço IPv6 real aparece nos logs do YouTube.
Não é teórico. É o comportamento default no Windows há uma década. Teste carregando test-ipv6.com com a VPN conectada — se você ver seu endereço IPv6 real, sua VPN está vazando.
Os dois fixes
Fix 1: Tunelar IPv6 também
Alguns provedores de VPN roteiam IPv6 pelo túnel igual a IPv4. Solução mais limpa. Setup de protocolo um pouco mais complexo. WireGuard suporta nativamente (allowedIPs ::/0); OpenVPN consegue com config certa; protocolos antigos nem sempre.
Fix 2: Null-route IPv6 enquanto o túnel está de pé
A outra abordagem: quando a VPN conecta, instala uma rota que manda tráfego IPv6 pra um destino null local. Efetivamente desabilita IPv6 pela duração do túnel. O SO continua tentando IPv6 primeiro, falha imediatamente, faz fallback pra IPv4 pelo túnel.
É o que o Fexyn faz. Mais simples de acertar do que tunelar IPv6 por todo protocolo, e o comportamento é uniforme: se a VPN está de pé, IPv6 não vaza — não vai a lugar nenhum. IPv4 vai pelo túnel.
E os apps que precisam de IPv6
A maioria não. O fallback IPv4 funciona transparentemente. A exceção são apps que pulam DNS do sistema e conectam a hosts IPv6-only diretamente — raro em redes consumidor, comum em alguns setups self-hosted ou enterprise.
Se você tem uma aplicação específica que requer IPv6, o workaround hoje é desconectar a VPN pra essa tarefa. Split tunneling pra IPv6 não está no roadmap atual do Fexyn porque a justificativa de modelo de ameaça é fraca — os tipos de usuários que precisam de IPv6 dentro de um túnel VPN normalmente estão rodando algo customizado.
Como testar
Rode o teste de DNS leak do Fexyn — o teste puxa info IPv4 e IPv6 quando disponível e flagra incompatibilidades. Com Fexyn conectado, IPv6 deve aparecer inalcançável (null-routed) em vez de mostrar seu endereço real.
Pra Wi-Fi público e outras redes não confiáveis, o caminho de vazamento IPv6 é uma das formas mais comuns que a proteção VPN silenciosamente falha. Fechar é mandatório, não opcional.
Experimente o Fexyn grátis por 7 dias — null-routing IPv6 é on por default; você não toggle.
Termos relacionados
Experimente o Fexyn grátis por 7 dias
App para Windows disponível agora em Beta. WireGuard, VLESS Reality e OpenVPN — sem logs de histórico de navegação, consultas DNS ou conteúdo de tráfego.
Ver preços