Глоссарий
Что такое IPv6-утечка
Когда IPv6-трафик обходит VPN, который туннелирует только IPv4, раскрывая твой настоящий IPv6-адрес сайтам, которые ты посещаешь.
IPv6 — следующее поколение интернет-адресации: 128-битные адреса вроде 2001:db8::1 вместо IPv4 192.0.2.1. Большинство домашних провайдеров в 2026 выдают и то, и другое. Большинство VPN-протоколов по умолчанию туннелируют только IPv4.
Это создаёт утечку. Когда загружаешь сайт, доступный по IPv6, браузер может предпочесть IPv6-адрес и подключиться напрямую через настоящий интерфейс. VPN говорит, что ты во Франкфурте; сайт логирует твой настоящий IPv6 от домашнего провайдера.
Почему это специфичная боль Windows
Windows агрессивно предпочитает IPv6 над IPv4, когда оба доступны. Алгоритм "Happy Eyeballs" пробует IPv6 первым, откатывается на IPv4 только если IPv6 быстро падает. Большинство крупных сайтов (Google, Cloudflare, Akamai, Facebook) — dual-stack: они анонсируют оба. Windows выбирает IPv6.
Когда VPN туннелирует только IPv4, IPv6 берёт нижний интерфейс. Браузер открывает соединение с YouTube по IPv6, оно идёт через домашний роутер, твой настоящий IPv6 показывается в логах YouTube.
Это не теория. Это поведение по умолчанию на Windows последнее десятилетие. Тестируй, открыв test-ipv6.com с подключённым VPN — если видишь свой настоящий IPv6, твой VPN течёт.
Два решения
Решение 1: Туннелировать IPv6 тоже
Некоторые VPN-провайдеры маршрутизируют IPv6 через туннель так же, как IPv4. Чище. Чуть сложнее в настройке протокола. WireGuard поддерживает нативно (allowedIPs ::/0); OpenVPN — с правильным конфигом; старые протоколы — не всегда.
Решение 2: Null-route IPv6 пока туннель поднят
Другой подход: при подключении VPN ставится маршрут, отправляющий IPv6-трафик в локальную null-точку. Фактически отключает IPv6 на время туннеля. ОС продолжает пробовать IPv6 первым, моментально падает, откатывается на IPv4 через туннель.
Именно это делает Fexyn. Это проще сделать правильно, чем туннелировать IPv6 через каждый протокол, и поведение однородно: если VPN поднят, IPv6 не утекает — он никуда не идёт. IPv4 идёт через туннель.
Что с приложениями, которым нужен IPv6
Большинству — нет. IPv4-fallback работает прозрачно. Исключение — приложения, обходящие системный DNS и подключающиеся к IPv6-only хостам напрямую — редко на потребительских сетях, часто в self-hosted или enterprise сетапах.
Если есть конкретное приложение, требующее IPv6, обходной путь сегодня — отключать VPN на эту задачу. Split tunneling для IPv6 не в roadmap'е Fexyn, потому что обоснование с точки зрения модели угроз слабое — пользователи, которым нужен IPv6 внутри туннеля VPN, обычно запускают что-то custom.
Как тестировать
Запусти тест DNS-утечек Fexyn — тест собирает и IPv4, и IPv6 информацию, когда доступна, и флагает несоответствия. С подключённым Fexyn IPv6 должен показываться недоступным (null-routed), а не показывать твой настоящий адрес.
Для публичного Wi-Fi и других ненадёжных сетей путь IPv6-утечки — один из самых распространённых способов, как защита VPN молча проваливается. Закрытие — обязательно, не опционально.
Попробуй Fexyn бесплатно 7 дней — null-routing IPv6 включён по умолчанию; тумблера для него нет.
Связанные термины
Попробуй Fexyn бесплатно 7 дней
Приложение для Windows доступно сейчас в бета-версии. WireGuard, VLESS Reality и OpenVPN — без логов истории просмотров, DNS-запросов и содержимого трафика.
Цены