Also bei unserer VPN Lösung, ich denke nicht das sich die anderen dabei stark unterscheiden, simuliert der VPN-Client eine virtuelle Netzwerkkarte. Diese hat z.b. eine IP 10.0.20.123 und das Gateway 10.0.20.1. Dieses Gateway ist aber bereits die Firewall. Wieviele Internet Router auch immer dazwischen sind wird der Traceroute im Tunnel niemals mitbekommen.

Bei einem Site2Site Tunnel was sicher für Außenstellen üblicher ist ist es fast genau so. Client Computer 10.0.50.123, Firewall/Gateway in der Außenstelle 10.0.50.1. Traceroute wird dabei VIELLEICHT noch die Firewall in der Zentralle finden mehr aber sicher nicht.