很多用户连接 VPN 或代理后,只看 IPv4 地址已经变化,就认为所有流量都走了代理。但在运营商、校园网、酒店 Wi-Fi 或家庭宽带开启 IPv6 的环境里,设备可能同时拥有 IPv4 和 IPv6 两条出口路径。如果客户端没有接管 IPv6,网站就可能通过 IPv6 看到真实网络。
快速答案
VPN IPv6 泄露的核心原因是双栈网络下路由覆盖不完整:IPv4 走了代理,IPv6 仍然直连。解决思路不是只换节点,而是确认客户端是否支持 IPv6 代理、是否启用了 TUN 或全局路由、DNS 是否返回 AAAA 记录,以及浏览器 WebRTC 是否暴露本地地址。
什么是双栈网络
双栈网络指设备同时使用 IPv4 和 IPv6。IPv4 地址通常看起来像 203.0.113.10,IPv6 地址则更长,例如 2001:db8::1。现代系统会根据网络质量、DNS 解析结果和应用策略自动选择路径,所以同一个浏览器里,不同网站可能走不同协议族。
为什么连接后 IP 还是可能暴露
- 代理客户端只监听系统代理端口,不能接管不遵守代理设置的应用。
- 分应用代理只覆盖指定 App,浏览器扩展或系统组件仍可能直连。
- DNS 返回 AAAA 记录后,浏览器优先访问 IPv6 地址。
- 客户端规则里没有 IPv6 CIDR、GeoIP 或默认出口策略。
- WebRTC、系统时间同步、推送服务等组件绕过了普通 HTTP 代理。
排查顺序
第一步,用检测页分别查看 IPv4、IPv6、DNS 和 WebRTC 结果,不要只看一个 IP。第二步,在客户端里确认当前模式:系统代理通常只影响浏览器和遵守代理设置的应用,TUN 模式才更接近系统级路由接管。第三步,检查规则列表是否包含 IPv6 段,例如 ::/0、本地链路地址、私有地址排除和默认出口。
常见修复方式
- 如果客户端支持 IPv6 代理,开启 IPv6 路由并让默认出口走代理。
- 如果节点或客户端不支持 IPv6,临时关闭系统 IPv6,避免真实 IPv6 直连。
- 开启 TUN 模式,并确认 DNS、UDP、IPv6 都被同一个虚拟网卡接管。
- 在规则里明确本地网段直连,其他 IPv6 段按代理或阻断处理。
- 浏览器侧关闭或限制 WebRTC 的本地地址暴露。
和 DNS 泄露有什么区别
DNS 泄露是解析请求走错出口,IPv6 泄露是实际访问路径走错出口。两者经常同时出现,但不是同一个问题。你可以先看 VPN DNS 泄露检测和修复步骤,再结合本文检查 IPv6 路由。
适合长期使用的配置
稳定方案通常是:TUN 接管系统路由,DNS 使用远程解析或受控 DoH,IPv4 与 IPv6 都有明确规则,浏览器 WebRTC 受限。这样比单纯打开“全局代理”更可控,也更容易判断问题发生在节点、DNS、规则还是系统网络层。
FAQ
没有 IPv6 就不会泄露吗?
如果本地网络和系统都没有 IPv6 出口,就不会出现 IPv6 直连泄露,但仍可能有 DNS、WebRTC 或分流规则问题。
关闭 IPv6 是不是最简单?
对普通用户来说是临时有效的方法,但长期更推荐使用能完整处理 IPv6 的客户端和规则。
为什么同一个网站有时显示代理 IP,有时显示真实 IP?
可能是网站不同资源使用不同域名、不同 DNS 记录或不同协议族。双栈网络下这种现象很常见。