Wenn du mit VPN verbunden bist und die Route eingehalten wird, kann niemand deine echte externe IP erkennen, solange der Erkennungsweg IP-basiert ist. Unter OSX wüsste ich nicht, dass dieses Problem überhaupt besteht, bei Win kann das natürlich anders sein, dass es da evtl. möglich ist die VPN Route zu umgehen. Wenn über deine Firewall allerdings alle Ports dicht sind, ausser die VPN Ports, dann bleibt dieser Versuch allerdings stecken. Aber da kommt es wieder darauf an, wie die FW konfiguriert ist.
Bei Linux oder OSX hast du ja ne Kernelfirewall, einmal die iptables und einmal pf. Hättest du dort externe Firewall-Tools installiert, die nicht die Kernelfirewall verwenden, kann ich mir nicht vorstellen, dass diese die gesetzten Regeln unter den iptables oder pf ausser Kraft setzen könnten. Verwenden diese externen Tools allerdings auch die Kernelfirewall, dann gibt es natürlich Probleme und du weißt nicht mehr sicher, welche Regeln jetzt eigentlich aktiv sind.