Dopo è stato stabilito un tunnel VPN sicuro, il traffico inviato attraverso il tunnel verrà crittografato tra il client e l'endpoint VPN (o tra i due endpoint VPN in una configurazione da sito a sito). Questo di solito include le richieste DNS e qualsiasi altro traffico legato a Internet.
(Nb sto assumendo, ai fini di questa domanda, che stiamo parlando di tunnel VPN che catturano tutto il traffico legato a Internet da una macchina.La maggior parte delle VPN utilizzate per motivi di privacy soddisfano questo criterio credo.) p>
Tuttavia, le connessioni sono protette solo dalla VPN fino a quando raggiungono l'endpoint. A questo punto vengono decrittografati su qualsiasi protocollo che usano (eventualmente anche crittografati) e inviati al server di destinazione effettivo.
/------ VPN -------\
CLIENT <------ HTTPS -------> VPN ENDPOINT <----- HTTPS -----> SERVER
\------------------/
In questo esempio, la connessione stessa è HTTPS ed è quindi crittografata anche dopo che è passata attraverso l'endpoint VPN. Tuttavia, qualsiasi protocollo di testo libero come HTTP e DNS non sarà sicuro oltre questo punto.
L'utilizzo di una VPN per motivi di privacy è quindi la soluzione migliore quando si tenta di eludere il monitoraggio dallo sniffing della rete locale, dal reparto IT aziendale, da reti wireless insicure o dal proprio ISP. Possono anche essere sfruttati per l'anonimato dal server di destinazione, anche se TOR potrebbe essere più robusto per questi scopi.
L'ISP dell'endpoint VPN può monitorare tecnicamente tutte queste connessioni, ed è per questo che l'utilizzo di protocolli crittografati (HTTPS, FTPS, SSH, ecc.) è ancora importante su una VPN. Ma sono molto più difficili (non sempre impossibile) risalire a te.
Se questo monitoraggio secondario dell'ISP è un problema particolare, di nuovo, potresti trovare che TOR è più adatto a mantenere la privacy.
Prima il tunnel VPN è stato stabilito, nulla è intrinsecamente crittografato (sebbene si possa, ovviamente, parlare comunque con i servizi avvolti da TLS). Pertanto, se si configura il client VPN per connettersi a myvpn.example.com, questa richiesta DNS verrà annullata. Inoltre, indipendentemente dal DNS, una terza parte di monitoraggio può sempre identificare l'indirizzo IP dell'endpoint VPN a cui si è connessi e pertanto può essere in grado di dedurre che si sta utilizzando una VPN. Tuttavia, possono solo vedere quale indirizzo stanno andando i messaggi (l'endpoint VPN) - non possono vedere il contenuto dei messaggi o la loro destinazione finale.