Três partes para esta resposta.
1) Muitas VPNs têm uma opção para rotear (ou não) todo o tráfego através dela. Esta opção está presente porque um dos usos de uma VPN (por nenhum menas o único) é permitir o acesso seguro aos recursos presentes na LAN do servidor VPN. Se esta opção estiver presente em uma determinada VPN, a fim de redirecionar todo o tráfego da rede através dela, você terá que ativar essa opção. Se, no entanto, você estiver pensando em um servidor commercial VPN, a opção não existe porque ninguém está interessado em acessar a LAN do servidor, e o único serviço de interesse é tornar a navegação privada.
2) As VPNs funcionam reescrevendo sua tabela de roteamento, que não conhece nada de portas e serviços. Então eles realmente transmitem todo o seu tráfego através do servidor, de forma criptografada.
3) Esse esquema é dividido em solicitações de DNS. Solicitações de DNS são usadas para traduzir endereços simbólicos (www.nytimes.com) em formato numérico (= 170.149.168.130). Essas solicitações precedem o carregamento de qualquer página da Web e devem ser roteadas pela VPN. Ocasionalmente, porém, acontece que seu sistema operacional insiste em usar seus próprios servidores DNS em forma de texto simples, de modo que cada solicitação e carregamento de página, que ocorre de forma criptografada, seja associado a uma solicitação de texto simples que, se interceptada, sua atividade de navegação.
É difícil evitar vazamentos de DNS (o nome técnico para essa quebra de sigilo), mas você pode encontrar páginas da Web úteis no NEt, como dnsleaktes.com que ajudará você a avaliar a extensão do problema para qualquer serviço disponível. Além disso, uma pesquisa no Google revela um bevvy de informações sobre apenas sobre qualquer provedor de VPN comercial.