Claro. Basta dizer ao Wireshark para monitorar a interface VPN, não a Ethernet / WiFi real.
Cadapacoteéroteadoparaumainterfacederedeespecífica.Amaioriacorrespondeacartõesderedefísica;háum"loopback" para 127.0.0.1 também.
Quando você se conecta a uma VPN, o software cria uma interface de rede virtual, atribui a ele um endereço IP e assim por diante. (Normalmente, um dispositivo 'tun' ou 'tap', embora nem sempre seja chamado assim ... Tenho certeza que vpnc
usa 'tun'.)
Os pacotes roteados por essa interface são enviados para o cliente VPN, que os criptografa e envia dentro de novos pacotes para o servidor VPN, que depois são roteados para o dispositivo WiFi real.
Então, se você está tentando gerar tráfego, recebê-lo ou monitorá-lo, realmente não há distinção entre tráfego "interno" e tráfego "externo", eles simplesmente passam por dispositivos diferentes e você não disse ao Wireshark qual um para capturar.