¿Qué sucede cuando se utiliza una VPN en la VM invitada con NAT?

He realizado esta configuración con suficiente frecuencia para liberar al host de las restricciones impuestas por servidores VPN demasiado restrictivos, y todo debería funcionar como dijiste.

el anfitrión navegará como de costumbre mientras que el invitado habrá creado un túnel desde sí mismo hasta el servidor vpn, por lo que si observo el tráfico desde la puerta de enlace veré un tráfico claro y uno tunelizado, ¿correcto?

Correcto.

¿Esto extrae datos? Y desde un POV de servidor externo, si me conecto a través de la VM, solo debería ver la IP de la VPN y no la de la puerta de enlace, ¿verdad?

Absolutamente cierto, siempre y cuando el observador no esté entre la VM y el servidor VPN. Después de pasar por el servidor VPN, la IP será la asignada por el servidor.

Según tengo entendido, en el modo NAT, el host actúa como un enrutador, por lo que básicamente el host navegará como de costumbre, mientras que el invitado habrá creado un túnel desde sí mismo hasta el servidor vpn.

Sí. El host ve tanto como vería un enrutador normal, ni más ni menos.

(Nota: si está utilizando VirtualBox, no utiliza la NAT del kernel del host ni las capacidades de enrutamiento; el 'enrutador' virtual está dentro del monitor de VirtualBox VM).

Entonces, si observo el tráfico desde la puerta de enlace, veré un tráfico despejado y uno tunelizado, ¿correcto?

Verá los paquetes que la VM realmente envía a través de su interfaz Ethernet. Esto significa que normalmente, sólo deberías ver los paquetes VPN "externos" cifrados (tal como lo haría un enrutador real). No existe ninguna magia en las máquinas virtuales que permita al host ver los paquetes tunelizados "internos" cuando no se supone que debe hacerlo.

Y desde un POV de servidor externo, si me conecto a través de la VM, solo debería ver la IP de la VPN y no la de la puerta de enlace, ¿verdad?

Sí.