Warum umgeht Safari (Mac OS Monterey) mein VPN und stellt Verbindungen her?

Ich überwache den Datenverkehr zwischen einem Mac OS-Gerät und einem Router. Um eine kleinere Netzwerkaufzeichnung zu erhalten, habe ich die Aktivität auf das Surfen im Internet beschränkt (Aufzeichnung mit Wireshark auf dem Mac).

Das Gerät läuft über eine VPN-Anwendung, sodass der gesamte Webverkehr wie erwartet an die VPN-IP geleitet wird.

Das Gerät stellt jedoch eine einzelne TCP-Verbindung über Safari her und umgeht dabei direkt die VPN-Konfiguration.

Ich habe versucht, die VPN-Verbindung zu deaktivieren/aktivieren, um zu sehen, ob es sich lediglich um einen „fehlerhaften“ TCP-Stream handelte, der vor der Aktivierung des VPN aktiv blieb.

Allerdings blieb die Verbindung auch nach dem Ein- und Ausschalten der VPN-Konfiguration als TCP-Stream bestehen. Danach wird der Datenverkehr plötzlich für eine Weile unterbrochen.

Folgendes könnte hilfreich sein:

• Die Verbindung erfolgt zu einem Cloud-Dienst (Amazon AWS)
• Vorhandensein einiger TLS-Pakete im Stream, aber kein Hinweis auf einen 3-Wege-Handshake oder eine Verbindungsschließung
• Ein ähnlicher TCP wurde nach diesem gestartet, während VPN aktiv ist.

Ist dies eine Standardfunktion von Mac OS, um Verbindungen über VPN-Konfigurationen hinaus zu initiieren und/oder aufrechtzuerhalten (Datenanalyse, wichtige Dienste)? Ich wäre für einige Einblicke dankbar, da ich relativ neu in der Netzwerkanalyse auf Macs bin