Sicher. Weisen Sie einfach Wireshark an, die VPN-Schnittstelle zu überwachen, nicht die tatsächliche Ethernet- / WLAN-Schnittstelle.
Jedes Paket wird an eine bestimmte Netzwerkschnittstelle weitergeleitet. Die meisten entsprechen physischen Netzwerkkarten. Es gibt auch einen "Loopback" für 127.0.0.1.
Wenn Sie eine Verbindung zu einem VPN herstellen, erstellt die Software eine virtuelle Netzwerkschnittstelle, weist ihr eine IP-Adresse zu und so weiter. (Normalerweise ein "tun" - oder "tap" - Gerät, obwohl es nicht immer als solches bezeichnet wird ... Ich bin ziemlich sicher, dass es vpnc"tun" verwendet.)
Pakete, die über diese Schnittstelle weitergeleitet werden, werden an den VPN-Client gesendet, der sie verschlüsselt und neue Pakete an den VPN-Server sendet, die dann an das echte WLAN-Gerät weitergeleitet werden.
Unabhängig davon, ob Sie versuchen, Datenverkehr zu generieren, zu empfangen oder zu überwachen, es gibt wirklich keinen Unterschied zwischen "innerem" und "äußerem" Verkehr. Sie durchlaufen lediglich verschiedene Geräte und Sie haben Wireshark nicht mitgeteilt, welches Sie einfangen sollen auf.