你的VPN可能正在通过WebRTC泄露真实IP

大多数VPN用户以为，只要公网IP变了，自己的真实连接就被隐藏了。但在测试不同VPN配置时，我发现了一个被忽略的问题：现代VPN检测早已不只看可见的公网IP地址。网站可以组合多种信号——VPN可能藏住了连接的一部分，而浏览器却在泄露另一部分。

WebRTC（网页实时通信）是一项浏览器技术，用于视频通话、语音聊天、P2P文件传输等实时功能。它内置于Chrome、Firefox、Safari、Edge等主流浏览器中。这项技术的便利之处在于，浏览器可以直接在用户之间建立连接，无需传统服务器中转每个数据包。但为此，浏览器需要发现网络路径，这一过程可能涉及查询本地网络接口、获取私有IP地址、通过STUN服务器获取公网地址——隐私问题正出现在这里。

VPN的工作原理是将网络流量通过加密隧道路由。从外部看，网站通常看到的是VPN服务器IP，而非你的真实公网IP。这是预期行为：无VPN时，网站看到你的ISP IP；启用VPN后，网站看到VPN服务器IP。但WebRTC运行在浏览器内部，根据浏览器、操作系统、VPN服务商和配置的不同，它可能暴露与VPN身份不完全匹配的额外网络信息。即使这没有直接泄露你的确切家庭公网IP，也可能形成指纹或检测信号。

举个例子，网站可能发现：可见IP归属德国，浏览器时区却是法国，DNS行为显示法国ISP，WebRTC候选地址暴露了本地/私有网络，ASN来自已知的数据中心服务商。单独看，每个信号说明不了什么；组合起来，就显得可疑。

人们测试VPN时，往往只检查一件事：公网IP变了吗？这很重要，但不完整。更好的问题是：启用VPN后，浏览器还暴露了什么？因为从网站的角度看，公网IP只是画面的一部分，它们还可能评估时区与IP地理位置是否匹配、DNS解析行为、浏览器语言设置、屏幕分辨率与字体列表、WebRTC网络信息、TCP/IP指纹等。这就是为什么有些VPN用于基础浏览没问题，却在流媒体平台、反欺诈系统或严格登录安全检查时失效。

最简单的测试方法是：启用VPN后，检查浏览器暴露了什么。我在对比不同VPN和浏览器配置时使用了WebRTC泄露测试工具。结果因设置而异，这并非普适排名——浏览器行为随时间变化，隐私设置影响很大。关键发现是：同一台机器上的两个浏览器，使用相同VPN，可能暴露不同的网络信息。而WebRTC只是VPN检测的一环，即使WebRTC干净，VPN端点本身仍可能被识别——许多VPN服务商使用数据中心托管的服务器，这意味着可见IP可能属于容易被标记的网络段。