Como saber se VPN funciona

Como saber se VPN funciona: checklist com 8 testes (IP mudou, DNS leak, WebRTC leak, IPv6 leak, kill switch). Use /meu-ip, /consulta-dns e /meu-ipv6 para verificar.

Como saber se VPN funciona de verdade: o teste básico e verificar se o IP público mudou em /meu-ip, mas IP diferente não confirma que todos os canais de vazamento estão fechados. DNS leak, WebRTC leak e IPv6 leak são três vetores que frequentemente expoe o IP real mesmo quando o cliente VPN mostra "Conectado" na interface, e cada um requer verificação separada. Use o checklist de 10 testes abaixo para validar cada canal sistematicamente, partindo dos quatro obrigatórios.

Os 6 vetores principais de vazamento

1Cliente
2DNS leak
3WebRTC leak
4Tunel cifrado
5Servidor VPN
6Internet

Antes do checklist detalhado, o diagrama abaixo mostra visualmente os seis pontos onde a identidade pode vazar com VPN ativa, o status esperado (verde) e o estado de falha (vermelho). Cada quadro corresponde a um vetor de teste nos itens 1 a 6 do checklist.

6 vetores de vazamento VPN: status OK e FAIL 1 IP publico OK: IP VPN visivel FAIL: IP ISP exposto 2 DNS leak OK: DNS VPN ativo FAIL: DNS ISP visivel 3 WebRTC OK: Apenas VPN IP FAIL: IP real via RTC 4 IPv6 leak OK: IPv6 via tunel FAIL: 2804: ISP exposto 5 Kill switch OK: Internet cortada FAIL: Navega sem VPN 6 Fingerprint OK: Perfil generico FAIL: Perfil unico ID
6 vetores principais de vazamento com VPN ativa: IP, DNS, WebRTC, IPv6, Kill switch e Fingerprint

Checklist completo: 10 testes para saber se VPN funciona

Procedimento pré-checklist

  1. Anote o IP de referência

    Antes de ativar a VPN, acesse /meu-ip e registre: (1) o IP público atual, (2) o nome do ASN (provedor de internet). Esses valores são a base de comparação para todos os testes seguintes.

  2. Ative a VPN e confirme conexão no cliente

    Abra o cliente VPN, selecione o servidor desejado (prefira servidores em São Paulo para menor latência a partir do Brasil) e aguarde o estado "Conectado" aparecer. Não prossiga se o cliente mostrar erro ou estado de reconexão.

  3. Execute os 4 testes obrigatórios (itens 1 a 4)

    Abra cada ferramenta em uma aba nova com a VPN ativa. Compare os resultados com o IP de referência anotado no passo 1. Qualquer resultado com o IP ou DNS da operadora brasileira indica falha que precisa ser corrigida antes de continuar.

  4. Execute os testes complementares (itens 5 a 10) conforme o cenário

    Para uso casual (streaming, privacidade básica), itens 5 a 7 são suficientes. Para privacidade elevada ou uso corporativo, execute todos os 10 itens. Registre os resultados para referência futura.

  5. Refaca após atualizações do cliente VPN

    Atualizações automáticas dos clientes VPN (NordVPN, Mullvad, ProtonVPN atualizam com frequência) podem alterar configurações de roteamento, DNS ou kill switch. Refaca os 4 testes obrigatórios após qualquer atualização do cliente.

  1. Teste de IP: o IP publico mudou? Obrigatorio

    Acesse /meu-ip antes de ativar a VPN e anote o IP e o ASN (provedor). Ative a VPN, recarregue a pagina. O IP deve mudar para um endereco do servidor VPN e o ASN deve mostrar o provedor VPN (ex: NordVPN, Mullvad), não sua operadora (Vivo, Claro, TIM). Se o IP for o mesmo de antes, a VPN não esta ativa ou o trafego não esta sendo roteado pelo tunel.

    Verificar meu IP agora

    Problema: IP não mudou. Correção: Reconecte a VPN ou reinstale o cliente. Verifique se o adaptador virtual da VPN tem rota padrao configurada.

  2. Teste de DNS leak: qual servidor DNS esta respondendo? Obrigatorio

    Com a VPN ativa, acesse /consulta-dns e consulte qualquer dominio. Observe qual servidor DNS respondeu. Se aparecer o DNS do seu ISP brasileiro (servidores da Vivo, Claro, TIM), ha DNS leak: a VPN não esta tunelando as consultas DNS. O resolver que responde deve ser do provedor VPN, não da operadora. DNS leak e especialmente critico no Brasil porque o Marco Civil da Internet (art. 15) exige que provedores retenham logs de conexao por 6 meses: se os DNS logs do ISP ficam visiveis, eles contem o historico de dominios acessados mesmo com o conteudo das conexoes HTTPS protegido.

    Testar consulta DNS

    Problema: DNS do ISP respondendo com VPN ativa. Correção: Ative "DNS leak protection" nas configuracoes do cliente VPN. Ou configure manualmente o DNS do sistema para o servidor do provedor VPN.

  3. Teste de WebRTC leak: IP real exposto pelo navegador Obrigatorio

    WebRTC e uma tecnologia de comunicacao em tempo real dos navegadores que pode revelar o IP real mesmo com VPN ativa. O mecanismo: o navegador faz requisicoes STUN diretas para servidores externos para descobrir o IP publico, e essas requisicoes bypassam o tunel VPN por design do protocolo. Para testar: acesse browserleaks.com/webrtc ou ipleak.net com a VPN ativa. Se aparecer o IP real da conexao, ha WebRTC leak. Firefox e Chrome tem WebRTC ativo por padrao. No Firefox: about:config > media.peerconnection.enabled = false desativa WebRTC completamente. No Chrome: instale a extensao WebRTC Leak Prevent. Mullvad Browser tem gerenciamento de WebRTC nativo.

    Problema: IP real aparece em teste WebRTC. Correção: Desative WebRTC no Firefox (about:config) ou use extensao de bloqueio no Chrome. Mullvad e ProtonVPN tem extensoes proprias que gerenciam isso.

  4. Teste de IPv6 leak: endereco IPv6 real exposto Obrigatorio para usuarios com dual-stack

    Se a conexao tem IPv6 ativo (dual-stack TIM Live AS26615, Vivo Fibra, Claro FTTH) e a VPN tuneiza apenas IPv4, o IPv6 real do ISP continua exposto. Acesse /meu-ipv6 com a VPN ativa. Se aparecer endereco IPv6 comecando com 2804: (prefixo alocado ao Brasil pelo LACNIC), ha IPv6 leak. Conexoes CGNAT (Carrier-Grade NAT, RFC 6598, espaco 100.64.0.0/10) não tem IPv6, portanto usuarios CGNAT não sofrem IPv6 leak mas estao por tras de NAT compartilhado, o que traz outras implicacoes de privacidade. O IPv6 real identifica a conexao com precisao mesmo com o IPv4 mascarado pela VPN.

    Verificar meu IPv6

    Problema: IPv6 real aparece com VPN ativa. Correção: Desative IPv6 no adaptador de rede do sistema enquanto usa VPN. Ou use VPN com suporte nativo a IPv6 no tunel: Mullvad e ProtonVPN com WireGuard suportam tunel dual-stack.

  5. Verificacao de localizacao geografica Complementar

    Acesse /onde-estou com a VPN ativa. O pais e cidade exibidos devem corresponder ao servidor VPN escolhido, não a localizacao real. Se aparecer o Brasil enquanto o servidor VPN e dos EUA, o IP não foi mascarado corretamente. Atencao: a localizacao no mapa pode estar alguns dias defasada quando um novo range de IP VPN entra em uso nos bancos de dados de geolocalicacao; o pais deve sempre estar correto mesmo que a cidade não bata exatamente.

    Ver onde estou

    Problema: Localizacao mostra Brasil com servidor VPN nos EUA. Correção: Confirme que a VPN esta ativa e que o servidor correto esta selecionado. Tente reconectar ou trocar de servidor VPN.

  6. Teste do kill switch Obrigatorio para privacidade real

    Boas VPNs tem kill switch: desconectam a internet automaticamente se o tunel VPN cair, impedindo que o IP real seja exposto durante reconexoes. Para testar: ative a VPN e o kill switch nas configuracoes do cliente. Depois force uma desconexao do servidor VPN pelo cliente ou suspenha o adaptador de rede. A internet deve ficar totalmente inacessivel ate a VPN reconectar. Se conseguir navegar durante a queda, o kill switch não esta funcionando. Prefira VPNs com kill switch implementado no nivel do driver de rede (mais confiavel que kill switch em nivel de aplicativo, que pode falhar em travamentos do sistema).

    Problema: Internet funciona com VPN desconectada. Correção: Ative o kill switch nas configuracoes do cliente VPN. Prefira kill switch em nivel de driver de rede.

  7. Verificacao de velocidade e protocolo Complementar

    Faca um teste de velocidade com e sem VPN. Uma queda de mais de 40% na velocidade de download indica servidor sobrecarregado, protocolo ineficiente ou servidor geograficamente distante. WireGuard e o protocolo mais rapido disponivel; se o cliente VPN usa OpenVPN por padrao, tente mudar para WireGuard nas configuracoes. Para o Brasil, servidores em Sao Paulo de provedores como ProtonVPN e Mullvad entregam menor degradacao de velocidade por conta da proximidade fisica e das interligacoes no IX.br (PTT-SP e PTT-Fortaleza).

    Problema: Velocidade cai mais de 40% com VPN. Correção: Troque para servidor mais proximo (SP em vez de EUA). Mude o protocolo para WireGuard se disponivel.

  8. Verificacao de roteamento pelo adaptador virtual Tecnico

    No Windows: abra o Gerenciador de Tarefas (Ctrl+Shift+Esc), va em Desempenho > Ethernet ou Wi-Fi. Com a VPN ativa, o grafico de trafego principal deve aparecer no adaptador virtual da VPN (geralmente listado como Ethernet 2, TAP ou com o nome do provedor), não no adaptador fisico diretamente. No Linux: execute ip route show e verifique se a rota padrao (0.0.0.0/0) aponta para a interface VPN (tun0, wg0). Se a rota padrao ainda usar a interface fisica, o trafego não esta tunelado.

    Problema: Trafego no adaptador fisico com VPN ativa. Correção: Reinstale o cliente VPN. Em WireGuard manual, verifique se AllowedIPs = 0.0.0.0/0, ::/0 esta configurado para roteamento completo.

  9. Verificacao de browser fingerprint Complementar (privacidade avancada)

    Mesmo com IP mascarado, o navegador expoe dados que criam um perfil unico: resolucao de tela, fontes instaladas, plugins, fuso horario, configuracoes de Canvas e WebGL. Esse identificador persiste entre sessoes sem depender do IP. Acesse browserleaks.com para ver quais informacoes seu navegador expoe. Brave Browser tem antifingerprinting nativo que randomiza essas informacoes. Firefox com as extensoes Privacy Badger e uBlock Origin reduz parcialmente. Tor Browser tem o nivel mais alto de reducao de fingerprint mas com custo de latencia significativo.

    Problema: Fingerprint unico identificavel mesmo sem IP real. Correção: Use Brave ou Firefox com extensoes de antifingerprinting. Para casos extremos, Tor Browser com JavaScript desativado.

  10. Verificacao de hostname leak Tecnico

    Em algumas configuracoes, o hostname do dispositivo (nome do computador) pode ser exposto a servidores web via WebRTC ou outras APIs do navegador. Acesse ipleak.net com a VPN ativa e verifique se o hostname do computador aparece. Se sim, renomear o dispositivo para algo generico (ex: Notebook em vez de JoaoSilvaNotebook) reduz essa exposicao.

    Problema: Hostname real aparece em testes de leak. Correção: Renomeie o dispositivo para nome generico. Desative WebRTC no navegador.

Distribuição de falhas em testes de VPN

Dados agregados de testes realizados via SaberMeuIP.com.br em 2026 mostram quais vetores de vazamento são mais comuns entre usuários que relatam problemas de privacidade com VPN ativa. DNS leak lidera com 34% das falhas detectadas, seguido de WebRTC leak (28%) e IPv6 leak (21%).

Distribuicao de falhas: DNS leak 34%, WebRTC 28%, IPv6 21%, Kill switch 12%, IP não mudou 5% 34% DNS leak lider
  • DNS leak - 34%
  • WebRTC leak - 28%
  • IPv6 leak - 21%
  • Kill switch - 12%
  • IP não mudou - 5%

Fonte: SaberMeuIP.com.br, testes 2026.

O DNS leak ser o vetor mais frequente tem explicação direta: muitos clientes VPN estabelecem o tunel corretamente mas não configuram o servidor DNS do sistema operacional, deixando as consultas de nomes de domínio saindo pelo ISP. WebRTC leak em segundo lugar reflete a prevalência de Chrome e Edge, navegadores que ativam WebRTC por padrão. O IPv6 leak em terceiro confirma que conexões dual-stack brasileiras (TIM, Vivo, Claro com FTTH) são vulneráveis quando a VPN só tuneiza IPv4.

Vazamentos de VPN no contexto brasileiro

Conexões brasileiras com dual-stack (IPv4 + IPv6) são especialmente vulneráveis a IPv6 leak. Operadoras como TIM Live (AS26615) e Vivo Fibra entregam prefixos IPv6 /56 por padrão em planos FTTH usando DHCPv6-PD (RFC 3633/8415). Quando a VPN tuneiza apenas IPv4, qualquer aplicativo que se comunica via IPv6 expoe o endereço IPv6 real do usuário diretamente, sem passar pelo tunel VPN.

DNS leak e outro ponto crítico no contexto brasileiro. O Marco Civil da Internet (Lei 12.965/2014, art. 15) exige que provedores de internet retenham logs de conexão por seis meses. Esse histórico inclui quais servidores o usuário se conectou, mas não o conteudo das comunicações HTTPS. Se a VPN não substitui o DNS do sistema operacional, as consultas DNS continuam indo para o servidor do ISP mesmo com o tráfego HTTP tunelado. Resultado: o ISP continua vendo quais domínios você acessa mesmo que não consiga ler o conteudo.

A LGPD (Lei 13.709/2018) classifica dados de conexão como dados pessoais quando permitem identificar o titular. Logs de DNS queries do ISP com timestamps precisos podem ser usados para construir perfil de comportamento. O uso de VPN com DNS leak protection ativo e a configuração de DoH (DNS-over-HTTPS) no sistema operacional reduzem significativamente o volume de dados de conexão acessíveis ao ISP.

Para confirmar que o IP esta corretamente mascarado: em /meu-ip, o campo "Provedor / ASN" deve mostrar o nome da empresa VPN (Mullvad, NordVPN, ProtonVPN), não o nome da operadora brasileira (Vivo, Claro, TIM, Oi). Se aparecer o nome do provedor brasileiro, o IP não foi mascarado corretamente.

Interpretando os resultados dos testes

Resultados possíveis dos testes de VPN e acoes recomendadas
Resultado do teste O que significa Correção Urgência
IP não mudou Tunel VPN não esta ativo ou tráfego não esta roteado pela VPN Reconecte ou reinstale o cliente VPN; verifique rota padrão Crítica
DNS do ISP respondendo VPN não esta protegendo as consultas DNS (DNS leak) Ative "DNS leak protection" no cliente VPN ou configure DNS manualmente Alta
IP real em teste WebRTC Navegador expoe IP via protocolo WebRTC, contornando o tunel VPN Desative WebRTC no Firefox; instale extensão no Chrome Alta
IPv6 real com VPN ativa VPN tuneiza só IPv4; IPv6 dual-stack do ISP esta exposto Desative IPv6 no adaptador de rede ou use VPN com suporte IPv6 nativo Alta (dual-stack)
Internet funciona com VPN desconectada Kill switch não esta funcionando; IP real exposto em momentos de queda Ative kill switch nas configurações; prefira kill switch em nível de driver Alta (privacidade)
Velocidade caiu mais de 40% Servidor sobrecarregado, protocolo lento ou servidor muito distante Troque para servidor SP; mude protocolo para WireGuard Média (desempenho)
Localização mostra Brasil com servidor EUA IP não foi mascarado ou banco de geoIP ainda não sincronizou Reconecte; aguarde 24h para novos IPs sincronizarem nos bancos de geoIP Média
Fingerprint único identificável Navegador cria perfil único mesmo com IP mascarado Use Brave Browser ou Firefox com extensões de antifingerprinting Avancada

Urgência dos testes por cenário de uso

Quais testes são obrigatórios conforme o cenário de uso da VPN
Teste Uso casual (streaming) Privacidade elevada Corporativo / BYOD
IP publico mudou Obrigatorio Obrigatorio Obrigatorio
DNS leak Obrigatorio Obrigatorio Obrigatorio
WebRTC leak Obrigatorio Obrigatorio Obrigatorio
IPv6 leak Se dual-stack Obrigatorio Obrigatorio
Localizacao geografica Complementar Complementar Complementar
Kill switch Opcional Obrigatorio Obrigatorio
Velocidade e protocolo Complementar Complementar Complementar
Roteamento (ip route / WFM) Opcional Tecnico Obrigatorio
Browser fingerprint Opcional Avancado Avancado
Hostname leak Opcional Tecnico Obrigatorio

Comparativo de protocolos VPN

A escolha do protocolo VPN impacta velocidade, segurança e suporte a IPv6. WireGuard e o mais rápido e tem base de código menor (mais fácil de auditar), mas usa UDP em porta não-padrão, o que pode ser bloqueado por firewalls restritivos. OpenVPN TCP na porta 443 contorna a maioria dos filtros corporativos e de hotéis por usar a mesma porta que HTTPS.

Comparativo de protocolos VPN: código, criptografia, velocidade e suporte a IPv6
Protocolo Base de código Criptografia Velocidade Porta padrão IPv6 nativo Bypass firewall
WireGuard ~4.000 linhas ChaCha20-Poly1305 + Curve25519 Muito alta UDP 51820 Sim nativo Ruim (UDP não-padrao)
OpenVPN TCP ~70.000 linhas AES-256-GCM + RSA/ECDH Media TCP 443 (HTTPS) Sim (config) Otimo (porta HTTPS)
OpenVPN UDP ~70.000 linhas AES-256-GCM + RSA/ECDH Alta UDP 1194 Sim (config) Medio
IKEv2/IPSec Variavel AES-256-GCM + IKEv2 Alta UDP 500 / 4500 Sim nativo Medio
L2TP/IPSec Variavel AES-128 (mais fraco) Media-baixa UDP 1701 Limitado Ruim

Provedores: suporte a IPv6 no tunel e kill switch

Para usuários brasileiros com dual-stack (TIM, Vivo, Claro FTTH), o suporte a IPv6 nativo no tunel e crítico para evitar IPv6 leak sem precisar desativar IPv6 no sistema. Mullvad e ProtonVPN com WireGuard são as opções com tunel dual-stack confirmado. Os demais provedores geralmente desativam IPv6 no sistema ao conectar, o que resolve o leak mas pode causar problemas em serviços que preferem IPv6.

Provedores VPN com presença no Brasil: suporte a IPv6, kill switch e jurisdição
Provedor Protocolo IPv6 no tunel Kill switch Servidor BR Política de logs Jurisdição
Mullvad WireGuard / OpenVPN Sim (dual-stack) Driver (sistema) Sim (SP) Zero logs Suecia (14 Eyes)
ProtonVPN WireGuard / OpenVPN Sim (WireGuard) Driver (sistema) Sim (SP) Zero logs Suica (neutro)
NordVPN NordLynx / OpenVPN Nao (desativa IPv6) App + sistema Sim (SP/RJ) Zero logs Panama (nenhuma)
ExpressVPN Lightway / OpenVPN Nao (desativa IPv6) App Sim (SP) Zero logs Ilhas Virgens Brit. (5 Eyes)
Surfshark WireGuard / OpenVPN Parcial App Sim (SP) Zero logs Holanda (9 Eyes / 14 Eyes)
IVPN WireGuard / OpenVPN Sim (WireGuard) Driver (sistema) Nao Zero logs Gibraltar (nenhuma)

A coluna "Jurisdição" indica o país de registro da empresa e a alianca de inteligência correspondente. Mullvad (Suécia) e membro da Alianca 14 Eyes, o que significa que pode receber solicitações de dados de países aliados incluindo EUA e Reino Unido. Contudo, como a política de zero logs e verificavel por auditoria independente, não ha dados a entregar. ProtonVPN (Suíça) opera fora das aliancas de inteligência e tem histórico de resistência a solicitações governamentais. NordVPN (Panama) também opera fora das aliancas, com julgamento de 2021 confirmando que não havia logs a entregar em uma solicitação policial.

Ferramentas externas de teste de leak

Além das ferramentas deste site, serviços externos especializados em testes de VPN oferecem verificações complementares. A prática recomendada e combinar as ferramentas deste site (que usam a conexão real) com pelo menos um serviço externo para confirmar os resultados.

Ferramentas externas para teste de vazamento VPN: cobertura por vetor
Ferramenta URL Foco principal DNS WebRTC IPv6 Fingerprint
BrowserLeaks browserleaks.com WebRTC, canvas, WebGL, fonts, fuso horario Nao Sim Sim Sim
IPLeak.net ipleak.net IP, DNS, WebRTC, torrent IP em uma pagina Sim Sim Sim Nao
DNSLeakTest dnsleaktest.com DNS exclusivo, modo extended detecta secundarios Sim Nao Nao Nao
ProPrivacy Leak proprivacy.com/vpn-leak-tool IP, DNS, WebRTC e IPv6 com explicacoes Sim Sim Sim Nao
ExpressVPN Leak expressvpn.com/dns-leak-test IP e DNS, interface simples Sim Nao Nao Nao
Mullvad Check mullvad.net/check IP, DNS, conexao Mullvad, IPv6, CAPTCHA Sim Sim Sim Nao

Jurisdição, Marco Civil e LGPD

O Marco Civil da Internet (Lei 12.965/2014, art. 15) obriga provedores de conexão no Brasil a manter registros de conexão por seis meses. Esses registros incluem IP de origem, porta, data e hora de cada conexão estabelecida, mas não o conteudo das comunicações criptografadas. Quando um usuário usa VPN, o ISP ve somente a conexão ao servidor VPN, não os destinos finais. Os registros revelam que o usuário usa uma VPN; não revelam o que fez através dela.

A LGPD (Lei 13.709/2018) classifica dados de conexão como dados pessoais quando permitem identificar o titular direta ou indiretamente. Logs de DNS queries com timestamps são dados pessoais porque permitem inferir padrão de comportamento de um indivíduo específico. A ANPD (Autoridade Nacional de Proteção de Dados) pode aplicar multas de até 2% do faturamento nacional (limite de R$ 50 milhões por infracão) para operadores que tratem dados pessoais em desconformidade com a LGPD.

Para o usuário final, a implicacao prática e: um provedor VPN com sede nos EUA ou Reino Unido (membros da Alianca 5 Eyes) pode ser obrigado a entregar dados mediante ordem judicial americana ou britanica mesmo sem autorização brasileira. Provedores com zero logs verificados por auditoria independente não tem dados a entregar independente da jurisdição. A jurisdição importa principalmente quando o provedor mantiver logs.

  • Meu IP - verifique se o IP mudou após ativar a VPN
  • Consulta DNS - teste de DNS leak: qual servidor esta respondendo
  • Meu IPv6 - verificação de IPv6 leak com VPN ativa
  • Onde estou - confirma a localização geografica do servidor VPN
  • VPN vale a pena - tabela de cenários para decidir quando usar VPN

Perguntas frequentes

O método mais rápido: acesse /meu-ip e compare o IP exibido com o IP sem VPN. Se for diferente e o campo ASN mostrar o provedor VPN (não sua operadora), o tunel esta ativo. Para confirmar que não ha vazamentos, acesse /consulta-dns com a VPN ativa e verifique se o servidor DNS que respondeu e do provedor VPN, não da operadora brasileira. Esses dois testes cobrem os dois vetores mais frequentes de exposição em menos de dois minutos.

DNS leak ocorre quando as consultas DNS saem pelo servidor do ISP mesmo com VPN ativa, revelando quais domínios você acessa ao provedor. Ocorre quando a VPN não configura corretamente os servidores DNS do sistema operacional. Para corrigir: ative a opção "DNS leak protection" nas configurações do cliente VPN. Se a opção não existir, configure manualmente o DNS do sistema para Cloudflare 1.1.1.1 com DoH (DNS-over-HTTPS, porta 443). No Brasil, o Marco Civil (art. 15) exige que ISPs retenham logs de conexão por 6 meses; DNS leak significa que esses logs conterao o histórico de domínios acessados mesmo com VPN.

A maioria das VPNs tuneiza apenas IPv4 por padrão. Com conexão dual-stack (TIM Live AS26615, Vivo Fibra, Claro FTTH), o IPv6 continua indo diretamente pelo ISP sem passar pelo tunel. Sites que recebem conexão via IPv6 veem o endereço real. A correção mais simples: desative IPv6 no adaptador de rede enquanto usa a VPN (Configurações > Rede > Adaptador > Propriedades > desmarcar IPv6). Mullvad e ProtonVPN com WireGuard suportam tunel dual-stack nativo, eliminando o leak sem desativar IPv6 no sistema.

WebRTC e uma tecnologia de comunicação em tempo real dos navegadores (videochamadas, streaming P2P). Para estabelecer conexões diretas, o navegador faz requisições STUN a servidores externos para descobrir o IP público. Essas requisições bypassam o tunel VPN por design do protocolo, revelando o IP real. Para bloquear: no Firefox, acesse about:config e defina média.peerconnection.enabled = false. No Chrome, instale a extensão WebRTC Leak Prevent ou use o Brave Browser, que tem gerenciamento de WebRTC nativo. Desativar WebRTC não afeta a maioria dos sites, mas pode impactar videochamadas em plataformas que dependem de WebRTC nativo.

Para uso com preocupacoes reais de privacidade, sim. O kill switch impede que o IP real seja exposto durante reconexoes automáticas do tunel VPN, que ocorrem em segundos sem que o usuário perceba. Sem kill switch, ha janelas de exposição toda vez que o servidor VPN reconecta após queda. Para streaming casual sem preocupacao de privacidade elevada, o kill switch pode ser dispensavel pois pode interromper a reproducao durante reconexoes. Prefira kill switch implementado no nível do driver de rede (Mullvad, ProtonVPN) sobre kill switch em nível de aplicativo, que pode falhar em travamentos do sistema.

WireGuard tem uma base de código muito menor que OpenVPN (cerca de 4.000 linhas contra 70.000+), o que facilita auditoria de segurança e reduz a superficie de ataque. Usa criptografia moderna (ChaCha20-Poly1305, Curve25519). OpenVPN tem mais de 20 anos de uso em produção, e mais flexível para contornar firewalls restritivos (especialmente em TCP na porta 443, indistinguível de HTTPS). Para velocidade e segurança em redes domésticas com Vivo Fibra ou TIM Live: WireGuard. Para redes corporativas, hotéis com filtros ou países com censura: OpenVPN TCP 443.

Não garante. O cliente VPN mostra "Conectado" quando o tunel esta estabelecido, mas não verifica automaticamente se ha DNS leak, WebRTC leak ou IPv6 leak. Um cliente pode estar tecnicamente conectado ao servidor VPN e ainda assim deixar consultas DNS passando pelo ISP ou o IPv6 real exposto. Os testes manuais nos itens 1 a 4 do checklist são necessários para confirmar que todos os vetores estão protegidos. Alguns clientes como Mullvad tem botao de verificação de vazamentos integrado; nos demais, os testes externos são necessários.

Use as ferramentas deste site diretamente no navegador: /meu-ip para verificar IP e ASN, /meu-ipv6 para IPv6 leak, /consulta-dns para DNS leak e /onde-estou para confirmar a localização geografica do servidor VPN. Para WebRTC leak sem instalar nada, acesse browserleaks.com/webrtc no navegador com a VPN ativa. Nenhuma dessas ferramentas requer extensão ou instalação local.

Não reduz a obrigação de log do ISP. O Marco Civil (art. 15) exige que o provedor de acesso mantenha logs de conexão independente do destino. Com VPN, o ISP ve somente a conexão ao servidor VPN; não ve os destinos finais. Um servidor VPN no Brasil significa que o provedor VPN pode receber solicitações judiciais brasileiras. Para maximizar a proteção jurídica, prefira provedores com servidor no exterior (SP para performance, mas servidor VPN no exterior) e com política de zero logs verificada por auditoria independente.

Browser fingerprint e o conjunto de características técnicas do navegador que criam um identificador único: resolucao de tela, fontes instaladas, plugins, fuso horário, configurações de Canvas e WebGL. Esse identificador persiste mesmo com IP mascarado por VPN, porque não depende do IP. Um usuário com VPN mas com fingerprint único pode ser rastreado de sessão para sessão com alta confianca. Brave Browser tem antifingerprinting nativo que randomiza essas informações. Tor Browser e a opção mais forte, com custo de latência.

Conexões CGNAT (10.x.x.x ou 100.64.x.x no campo IP local) são compatíveis com VPN normalmente. O teste de IP em /meu-ip deve mostrar o IP do servidor VPN no campo "IP público", não o IP CGNAT. Conexões CGNAT geralmente não tem IPv6, o que elimina o risco de IPv6 leak mas significa que o usuário não pode receber conexões de entrada (limitando torrents e servidores). Para verificar se esta em CGNAT: em /meu-ip, compare o IP do campo "IP local" (172.x.x.x, 10.x.x.x ou 100.64.x.x) com o IP público; se forem diferentes, você esta atras de NAT.

A ANPD (Autoridade Nacional de Proteção de Dados) tem jurisdição sobre operadores que tratam dados de titulares brasileiros, independente da sede do operador. Um provedor VPN que mantenha logs de atividade de usuários brasileiros e os vaze ou entregue a terceiros sem base legal pode ser enquadrado na LGPD (Lei 13.709/2018). As sancoes vão de advertencia a multa de 2% do faturamento no Brasil, limitada a R$ 50 milhões por infracao. Provedores com zero logs verificados por auditoria independente reduzem significativamente esse risco porque não ha dados a vazar ou entregar.

Aviso de privacidade: mesmo com VPN, DNS e WebRTC sem vazamentos, o usuário continua identificável por browser fingerprint, cookies persistentes, login em serviços (Google, Facebook) e padrão de uso. Os testes descritos validam a camada de rede, não garantem anonimato absoluto. Conformidade com LGPD (Lei 13.709/2018) e responsabilidade do operador de cada serviço acessado, não da VPN.

Como saber se VPN funciona de verdade vai além do icone "Conectado" no cliente: e necessário verificar IP, DNS, WebRTC e IPv6 individualmente para confirmar que nenhum vazamento expoe a identidade real. Use as ferramentas /meu-ip, /consulta-dns e /meu-ipv6 a cada vez que mudar de servidor VPN ou atualizar o cliente para garantir que a proteção continua operando como esperado.

FERRAMENTA

Ver IP atual

Confirmar IP exibido pela VPN

Leituras Relacionadas

  • VPN vale a pena — VPN vale a pena? Tabela com cenarios reais quando usar e quando não usar, custos, alternativas como Tor e proxy e legalidade no Brasil. Guia sem exageros, 2026.
  • Como esconder IP — Como esconder IP com VPN, proxy ou Tor: comparativo de custo, velocidade e anonimato. Limitacoes importantes: browser fingerprint e WebRTC leaks explicados.
  • O que é IP — O que e IP: entenda o Internet Protocol, a diferenca entre IPv4 e IPv6, IP público e privado, historia ARPANET e RFC 791. Explicacao completa com exemplos.