建立安全的 VPN 隧道后，通过隧道发送的任何流量都将在客户端和 VPN 端点之间（或站点到站点配置中的两个 VPN 端点之间）进行加密。这通常包括 DNS 请求和任何其他 Internet 绑定流量。

（注意，出于这个问题的目的，我假设我们正在谈论从机器捕获所有 Internet 绑定流量的 VPN 隧道。我认为大多数出于隐私原因使用的 VPN 都符合这个标准。）

但是，连接仅在到达端点之前受 VPN 保护。此时，它们被解密回它们使用的任何协议（可能也加密），并发送到实际的目标服务器。

         /------ VPN -------\
 CLIENT <------ HTTPS -------> VPN ENDPOINT <----- HTTPS -----> SERVER
         \------------------/

在此示例中，连接本身是 HTTPS，因此即使在通过 VPN 端点之后也会被加密。但是，任何明文协议（如 HTTP 和 DNS）在此之后都将不安全。

因此，在试图逃避来自本地网络嗅探、您的公司 IT 部门、不安全的无线网络或您的 OWN ISP 的监控时，出于隐私原因使用 VPN 是最好的选择。它们也可以用于目标服务器的匿名性，尽管 TOR 对于这些目的可能更健壮。

VPN 端点的 ISP 在技术上可以监控所有这些连接，这就是为什么在 VPN 上使用加密协议（HTTPS、FTPS、SSH 等）仍然很重要的原因。但是要追溯到您要困难得多（并非总是不可能）。

如果这种二级 ISP 监控是一个特别关注的问题，那么您可能会发现 TOR 更适合维护隐私。

在VPN 隧道建立之前，没有任何东西是本质上加密的（当然，你可能会与 TLS 包装的服务进行通信）。因此，如果您将 VPN 客户端配置为连接到 myvpn.example.com，则此 DNS 请求将明文发送。此外，无论 DNS 是什么，监控第三方始终可以识别您连接到的 VPN 端点的 IP 地址，因此可以推断您正在使用 VPN。但是，他们只能看到消息将发送到哪个地址（VPN 端点）——他们看不到消息的内容，或者它们的最终目的地。