Después de se ha establecido un túnel VPN seguro, cualquier tráfico enviado a través del túnel se cifrará entre el cliente y el punto final de la VPN (o entre los dos puntos finales de la VPN en una configuración de sitio a sitio). Por lo general, esto incluirá solicitudes de DNS y cualquier otro tráfico vinculado a Internet.
(Nb Supongo que, para los fines de esta pregunta, estamos hablando de túneles VPN que capturan todo el tráfico vinculado a Internet desde una máquina. La mayoría de las VPN utilizadas por razones de privacidad cumplen con este criterio).
Sin embargo, las conexiones solo están protegidas por la VPN hasta que llegan al punto final. En este punto, se descifran a cualquier protocolo que utilicen (posiblemente también cifrado) y se envían al servidor de destino real.
/------ VPN -------\
CLIENT <------ HTTPS -------> VPN ENDPOINT <----- HTTPS -----> SERVER
\------------------/
En este ejemplo, la conexión en sí misma es HTTPS y, por lo tanto, se cifra incluso después de haber pasado por el punto final de la VPN. Sin embargo, cualquier protocolo de texto simple como HTTP y DNS no será seguro más allá de este punto.
Por lo tanto, es mejor utilizar una VPN por razones de privacidad cuando intente evadir el monitoreo de la red local, el departamento de TI de su empresa, las redes inalámbricas inseguras o su propio ISP. También pueden aprovecharse para el anonimato del servidor de destino, aunque TOR podría ser más sólido para estos fines.
El ISP del punto final de la VPN puede monitorear técnicamente todas estas conexiones, y es por esto que el uso de protocolos cifrados (HTTPS, FTPS, SSH, etc.) sigue siendo importante en una VPN. Pero son mucho más difíciles (no siempre imposibles) para rastrearte.
Si este monitoreo ISP secundario es una preocupación particular, nuevamente, podría encontrar que TOR es más adecuado para mantener la privacidad.
Antes de se ha establecido el túnel VPN, no hay nada intrínsecamente encriptado (aunque, por supuesto, podría estar hablando con servicios envueltos en TLS). Por lo tanto, si configura su cliente VPN para conectarse a myvpn.example.com, esta solicitud de DNS se borrará. Además, independientemente del DNS, una tercera parte de monitoreo siempre puede identificar la dirección IP del punto final de la VPN a la que está conectado y, por lo tanto, puede deducir que está utilizando una VPN. Sin embargo, solo pueden ver a qué dirección van los mensajes (el punto final de la VPN), no pueden ver el contenido de los mensajes ni su destino final.