من فکر می کنم شما یکم توضیح بدی بهتره . من درست متوجه نشدم که رابطه ماهواره با بقیه در توضیح شما کجا رفت اما در حالت کلی اینجوریه که شما وقنی که از VPN استفاده می کنی ، دیتا انتقالی توسط hop های این میان دیگه قابل خواندن نیست و از نظر منطقی Hop بعدی VPN Server می شود و برای همین هست که شما وقتی که Traceroute می کنی از همان جا شروع می شود .
خوب ولی کلا برای بستن tracert روی router سه راه وجود دارد :
1. در ساده ترین حالت (نه همیشه ) tracert از پورت مفصد 33434 UDP استفاده می کنه که می شود اونرو با ACL بست.
2. با استفاده از فرمان های زیر :
myrtr(config)#IP access-list extended traceroute
myrtr(config-ext-nacl)# deny ip any any option traceroute
3. با بستن پیغام های ICMP Time-Exceeded ، ICMP Port Unreachable ،ICMP TTL Exceeded و TTL = 0 & 1 در روتر
deny ip .... ttl eq 0 1
deny icmp .... time-exceeded
deny icmp .... port-unreachable
deny icmp .... ttl-exceeded