O tráfego não VPN pode ser simplificado para mostrar como:
Browser > OS > internet > web server
Acima, o navegador solicita ao sistema operacional do seu computador (OS) uma conexão com a Internet, que provavelmente passa primeiro por algum modem / roteador na sua própria rede e pelos servidores do seu provedor.
Ao usar uma VPN pública (como para usar com segurança redes WiFi públicas não confiáveis ou para enganar um servidor da Web em um país diferente), o fluxo é como:
Browser > OS > encrypt > internet > VPN provider > decrypt > internet > web server
Assim, o navegador nem sabe que está usando uma VPN (o sistema operacional cuida disso) e o provedor de VPN descriptografa o tráfego da VPN e o encaminha para o servidor de destino.
Ao visitar um site HTTPS, o tráfego também é criptografado pelo navegador e pelo servidor da web. Sem VPN:
Browser > encrypt > OS > internet > web server > decrypt
Ao usar HTTPS e VPN, o tráfego é criptografado duas vezes. Nesse caso, o provedor de VPN só pode descriptografar o tráfego da VPN, mas não consegue ver o que o navegador está realmente transmitindo:
Browser > encrypt > OS > encrypt > internet > VPN provider > decrypt > internet > web server > decrypt
Observe que se for uma VPN privada (como se conectar à rede de uma empresa), o servidor VPN também poderá permitir o tráfego para a Internet:
Browser > OS > encrypt > internet > company VPN > decrypt > company network > internet > web server
No entanto, as VPNs privadas geralmente são configuradas para não direcionar o tráfego para qualquer website externo:
Browser > OS > encrypt > internet > company VPN > decrypt > company network only
Para contornar isso, o cliente VPN no sistema operacional do seu computador pode permitir o uso de VPN apenas para alguns do tráfego. Como em um computador Windows, desabilitando as opções como "Usar padrão gateway na rede remota "o sistema operacional usará a VPN apenas para tráfego para a rede da sua empresa, mas para outros tipos de tráfego basta conectar-se à Internet como de costume. Isso pode ser um risco de segurança (como malware em seu computador pode se conectar à rede da empresa e a qualquer outro servidor na Internet ao mesmo tempo!) E não deve ser alterado a menos que você realmente entenda os riscos.