Rodando uma VPN dentro do Bromure — e um guia em linguagem simples sobre o Cloudflare WARP
O que uma VPN realmente faz, o que ela não faz, por que rodar uma por perfil dentro do Bromure muda a conversa sobre anonimato e um passeio por como o Cloudflare WARP funciona por baixo dos panos.
Anonimato online não é preocupação de hacker. É o que você quer toda vez que preferiria que o seu supermercado, a sua seguradora, a escola do seu filho e seis redes de anúncios não soubessem quais matérias você leu à uma da manhã.
A maioria das pessoas recorre a uma VPN quando está viajando, assistindo a streaming ou comprando algo que preferiria não ver sendo retargeteado num pop-up na semana que vem. Poucas pensam em onde a VPN roda — no sistema operacional, no roteador ou em algum lugar mais interessante. A resposta para essa última pergunta, acontece, importa muito. Este post percorre o que uma VPN realmente faz, o que ela não faz, por que rodá-la por perfil dentro do Bromure muda as contas e — porque as pessoas continuam perguntando — o que exatamente é o Cloudflare WARP.
Seu endereço IP é um crachá que você não consegue tirar.
Toda requisição que seu computador faz para qualquer serviço web contém seu endereço IP. Tem que conter: a resposta precisa voltar para algum lugar. O problema é que o mesmo IP, vindo da mesma casa, costuma persistir por dias, semanas ou meses, e isso é tempo suficiente para que todo pipeline de analytics da internet o trate como um identificador estável — "o laptop da mesa da cozinha" — e costure, entre sites completamente alheios, um retrato do que a pessoa naquele laptop faz no tempo livre.
Seu IP não é o único identificador na internet; cookies e contas logadas são mais fortes. Mas o IP é aquele que você não consegue desligar. Você pode limpar cookies, pode se recusar a fazer login, e o IP continua saindo, o mesmo IP, em toda requisição.
É esse o problema que uma VPN endereça.
O que uma VPN realmente faz — e o que ela não faz.
Uma VPN — rede virtual privada — redireciona seu tráfego por um servidor intermediário, de forma que os sites que você visita vejam o IP da VPN em vez do seu. O tráfego entre o seu dispositivo e a VPN é criptografado, e os sites que você visita enxergam a região geográfica pela qual a VPN optou por sair.
O que uma VPN te dá:
Seu IP fica oculto dos sites
Os sites veem o IP da VPN. Os parceiros de anúncios deles veem o IP da VPN. Corretores de dados que agregam visitas pela internet acabam agregando em torno de uma saída compartilhada, e não em torno da sua casa.
Seu tráfego fica oculto do seu ISP e da sua rede
O café, o aeroporto, o hotel e o seu provedor de internet enxergam apenas um fluxo criptografado indo para a VPN. Não conseguem ver que sites você está visitando. As consultas DNS também passam pela VPN, então eles não conseguem nem ver o que você estava procurando.
Você pode escolher a saída geográfica
A maior parte das VPNs comerciais deixa você escolher o país. Se um site só está disponível no Japão, ou se você quer ver os preços que quem está do outro lado do oceano está vendo na loja, uma VPN é a resposta fácil.
Você não fica anônimo
Essa é a parte honesta. Uma VPN esconde seu IP, não sua identidade. Se você entrar nas mesmas contas em que sempre entra, está tão identificado quanto antes — só que por outro IP. Fingerprinting de navegador, cookies, passkeys e "entrar com Google" não ligam para IPs.
Por que rodar uma VPN dentro do Bromure é um formato melhor.
A maioria das pessoas roda uma VPN no sistema operacional. A máquina inteira fica VPN-ligada ou VPN-desligada. O problema disso é duplo.
O primeiro problema é de resolução. Quando a VPN está ligada, todo aplicativo — seu cliente de e-mail, seu Slack, as atualizações da App Store, a sincronização do Dropbox — passa pela VPN. Isso pode quebrar logins ("notamos um acesso da Alemanha"), pode deixar tudo mais lento e vaza o uso da VPN para todos os outros serviços com que você conversa.
O segundo problema é vazamento. Quando a VPN está desligada, algum outro aplicativo fazendo algo útil em segundo plano pode acender seu IP real num site que você achava estar acessando de forma anônima. Um único vazamento de DNS, um único vazamento de WebRTC, e o site correlaciona você com a conexão real.
O Bromure adota uma abordagem diferente: cada perfil é sua própria máquina virtual, cada um com sua própria configuração de rede. Um perfil pode estar no WARP. Outro pode ser direto. Um terceiro pode estar numa VPN comercial paga saindo na Alemanha. Um quarto pode estar no Tor. Nenhum deles enxerga os outros. E o sistema operacional hospedeiro — seu IP real, sua conexão real — não tem VPN nenhuma, porque não precisa.
Três consequências silenciosas caem desse formato.
Sem correlação acidental. O perfil de trabalho e o perfil de pesquisa não compartilham um IP de origem. Um site em que você entrou no "Pessoal" vê a saída WARP; um site que você abriu em "Pesquisa" vê uma saída comercial alemã. Eles não conseguem amarrar as duas sessões pela rede.
Sem vazamento entre perfis. Um vazamento de DNS, um vazamento de WebRTC, um aplicativo mal configurado — tudo isso é local à VM. Uma página mal-comportada num perfil não consegue descobrir o IP real do host, porque o IP real do host não está dentro do namespace de rede daquele perfil. Está na próxima parede.
As sessões terminam, as rotas terminam junto. Uma sessão descartável que estava rodando WARP é desmontada quando você fecha a janela. Na próxima vez em que você abrir o mesmo perfil, nada da sessão anterior — cookies, caches, chaves WireGuard, alocações de IP — estará lá. A VPN é tão efêmera quanto a janela foi.
Um guia sobre o Cloudflare WARP.
O WARP é o produto VPN-esco de consumo da Cloudflare. Ele é, confusamente, tanto um serviço gratuito que qualquer pessoa pode usar quanto um produto pago, e convive ao lado de toda uma suíte de produtos corporativos que também carregam o nome WARP (1.1.1.1 for Families, Zero Trust, Gateway). Esta seção fala da versão pessoal e gratuita, que é sobre a qual as pessoas perguntam.
Um breve histórico: o WARP começou como o lado de consumo do resolvedor DNS 1.1.1.1 da Cloudflare, lançado em 2019. A ideia era simples — a Cloudflare já tinha uma das maiores redes de borda do planeta para servir sites, então terminar um túnel WireGuard nessa mesma borda era um salto adicional pequeno. O cliente original usava a implementação WireGuard da própria Cloudflare em Rust (BoringTun); clientes mais recentes adicionaram MASQUE — um protocolo VPN mais novo, construído em cima de HTTP/3 e QUIC, mais difícil de bloquear em muitas redes hostis.
O que o WARP te dá:
Gratuito, sem conta para começar
O tier básico do WARP é gratuito. Sem cartão de crédito, sem e-mail. Um identificador de dispositivo é gerado localmente; você pode fazer upgrade depois se quiser o tier pago, mas a experiência de primeira abertura é "instalar, conectar, pronto."
Rápido, porque a borda da Cloudflare está em todo lugar
VPNs tradicionais fazem backhaul do seu tráfego até um punhado de data centers e saem de lá. A Cloudflare opera PoPs em mais de 300 cidades. O salto extra que seu tráfego faz costuma ser minúsculo e, para muitos usuários, o WARP é comprovadamente mais rápido do que nenhuma VPN por causa do peering de trânsito da Cloudflare.
DNS criptografado
Por padrão, as consultas DNS dentro do túnel vão para o 1.1.1.1 via DoH ou DoT. Seu provedor de internet, a rede do escritório e o roteador da cafeteria não conseguem ver quais domínios você está consultando — coisa que, em redes não criptografadas, estaria em texto claro.
Alegações de privacidade que dá para ler de verdade
A Cloudflare publicou repetidamente auditorias de privacidade do WARP (feitas por auditores independentes — a KPMG mais recentemente) declarando que endereços IP e histórico de navegação não são registrados nem usados para publicidade. A política não é blindada, mas é melhor do que a da maioria das VPNs gratuitas e genuinamente auditável.
O que o WARP não é.
É fácil superestimar o que o WARP faz. Algumas coisas para ter em mente antes de tratá-lo como uma solução de privacidade completa.
Não é uma VPN geográfica
Você não pode escolher "sair pelo Japão" no WARP gratuito. O PoP de saída é determinado por onde você está. Para desbloqueio geográfico, você ainda precisa de uma VPN comercial com seletor de país, ou de variantes WARP+ que oferecem controle de região.
A confiança vai do ISP para a Cloudflare
Seu tráfego só é criptografado até a borda da Cloudflare. Depois disso, a Cloudflare o roteia para a internet pública. A Cloudflare consegue ver todo domínio ao qual você se conecta, toda consulta DNS, todo byte não criptografado (embora a maior parte venha embrulhada em TLS). Você está trocando a visibilidade do seu ISP pela da Cloudflare — o que é um passo real para cima se você não confia no seu ISP, mas continua sendo uma única âncora de confiança bem conhecida.
Não impede fingerprinting
Uma VPN esconde seu IP. Ela não muda a sua string de user-agent, a sua lista de fontes instaladas, a sua resolução de tela, o seu fingerprint de WebGL/canvas, a sua assinatura TLS. Um rastreador bem equipado correlaciona você entre IPs de qualquer jeito. Esconder o IP aumenta o sarrafo; não zera o campo.
Algumas redes bloqueiam o WARP de saída
Redes corporativas, alguns aeroportos e certos países detectam e bloqueiam os endpoints padrão do WARP. O MASQUE ajuda nisso, mas não é mágica. Se o WARP se recusa a conectar em uma dada rede, normalmente isso não é um bug — é a rede dizendo não.
Usando o WARP dentro de um perfil do Bromure.
A parte mecânica é pequena. A configuração do WARP pode ser exportada como um arquivo de configuração WireGuard no app 1.1.1.1 — o mesmo tipo de arquivo que qualquer cliente WireGuard entende. Você aponta um perfil do Bromure para esse arquivo e tudo o que o perfil fizer viaja pela Cloudflare.
Como a configuração é por perfil, você pode manter o perfil WARP para a leitura e navegação do dia a dia, enquanto seus perfis de banco e trabalho permanecem na conexão direta. Seu sistema operacional hospedeiro, enquanto isso, não está rodando uma VPN — não precisa, porque nada no host está tentando anonimizar o próprio tráfego. O anonimato mora exatamente onde você quer usá-lo.
Uma matriz curta de quando recorrer ao quê:
Use o WARP quando…
Você quer esconder seu IP da maior parte da web, está numa rede em que não confia plenamente, quer DNS criptografado e prefere não pagar nem se cadastrar em nada. Bom padrão para o perfil que você usa para leitura aleatória, pesquisa e compras casuais.
Use uma VPN comercial paga quando…
Você precisa de uma saída num país específico, precisa de um provedor que publique uma política de privacidade mais forte ou esteja sob uma jurisdição diferente da Cloudflare, ou está fazendo algo que pode levar o IP compartilhado a ser limitado por rate limit. Mais lento que o WARP na maioria dos casos, porém com mais controle.
Use o Tor quando…
Você precisa de anonimato genuíno contra um adversário sério — uma jornalista apurando uma matéria, uma ativista num país hostil, um pesquisador olhando para a infraestrutura de um adversário. Bem mais lento do que WARP ou uma VPN; funciona para muito menos sites; mas o modelo de ameaça que ele resiste é outro.
Não use VPN quando…
Você está entrando no banco, no médico ou em serviços do governo. Esses sites são construídos para desconfiar de IPs incomuns, e uma VPN costuma disparar atrito extra ou bloqueios de cara. Manter um perfil limpo de "IP real" para essas sessões não é paranoia; é conveniência.
Para encerrar.
Você não precisa de um modelo de ameaça que envolva estados-nação para querer controle sobre o seu IP. Basta não querer ser etiquetado em toda página que você lê, toda busca que você faz e todo produto que olhou uma vez e logo depois se arrependeu. Uma VPN é a ferramenta mais comum para isso; o WARP é um bom padrão gratuito para quem quer o básico sem assinatura. E o Bromure, ao colocar cada perfil em seu próprio mundo de rede, permite que você misture essas ferramentas na resolução que elas sempre deveriam ter tido: não por computador, não por aplicativo, mas por mundo.
Instale o Bromure. Crie um perfil chamado "leitura." Aponte para o WARP. Veja como fica o resto da web quando ela não te reconhece mais.