Poiché non è stato specificato, affronterò i server TUN e TAP VPN. Puoi leggere ulteriori informazioni sulla differenza nella wiki OpenVPN .
In genere, un server VPN che utilizza TUN sposterà le route statiche a una o più sottoreti, o potenzialmente all'intero spazio degli indirizzi, in modo da fungere da gateway predefinito. Il file di configurazione del client può contenere informazioni sui percorsi o, una volta connesso alla VPN, la tabella di routing dell'attaccante può essere popolata con informazioni sulle sottoreti remote. Questa informazione potrebbe essere utilizzata per l'enumerazione e la scansione di host su quelle sottoreti.
Nel caso in cui il server VPN spinga solo le rotte ad agire come gateway predefinito (ad esempio l'opzione redirect-gateway def1 di OpenVPN), potrebbe essere necessario ricorrere all'esplorazione host in modo cieco su RFC1918 reti private, magari usando Nmap o un altro scanner.
D'altro canto, un server VPN che utilizza TAP può indurre l'utente malintenzionato a ricevere un indirizzo direttamente sulla rete di destinazione, pertanto l'interfaccia tun0 locale o simile visualizzerà le informazioni sulla sottorete remota. L'autore dell'attacco può anche iniziare a ricevere il traffico broadcast / multicast sulla rete, il che può aiutare con la scoperta passiva di altri host.