¿Por qué Safari (Mac OS Monterey) omite mi VPN y realiza conexiones?

Estoy monitoreando el tráfico entre un dispositivo Mac OS y un enrutador. Con el fin de obtener una captura de red más pequeña, simplemente restringí la actividad a la navegación web (Captura usando Wireshark en Mac).

El dispositivo se ejecuta a través de una aplicación VPN, por lo que todo el tráfico web se dirige hacia la IP de la VPN como se esperaba.

Sin embargo, el dispositivo establece una única conexión TCP a través de Safari, omitiendo directamente la configuración de VPN.

Intenté deshabilitar/habilitar la conexión VPN para ver si era solo una transmisión TCP 'fallada' que permaneció activa antes de la activación de la VPN.

Sin embargo, la conexión continuó como una transmisión TCP incluso después de apagar/encender la configuración de VPN. El tráfico se detiene repentinamente por un tiempo después de esto.

Cosas que podrían ayudar a tener en cuenta:

• La conexión es a un servicio en la nube (Amazon AWS)
• Presencia de algunos paquetes TLS en la transmisión, pero no hay evidencia de un protocolo de enlace de tres vías o cierre de conexión
• Se inició un TCP similar después de este, mientras la VPN está activa.

¿Es esta alguna capacidad predeterminada de Mac OS para iniciar y/o mantener conexiones más allá de las configuraciones de VPN (análisis de datos, servicios esenciales)? Agradecería alguna idea ya que soy relativamente nuevo en el análisis de redes en Mac