Dann wäre es gut gewesen, wenn Du darauf hinweist was Deine Beweggründe sind wenn Du einen Artikel verlinkst. Das macht es für Leser einfacher zu erkennen,. was Deine Intention dabei war und er muss nicht raten und vielleicht wie ich Dich dann versehntlich falsch zu verstehen.
Schönes Wochenende.
Ein Punkt wurde nicht erwähnt oder ich habe es übersehen:
Apple-Traffic, wie z. B. Push-Benachrichtigungen, App Store-Traffic und sogar Health-App-Daten, umgehen aktive VPN vollständig.
https://www.heise.de/news/Apple-raeumt-ein-iOS-Dienste-koennen-VPN-Tunnel-umgehen-7545702.html
Ist so von Apple gewollt… und eigentlich NoGo!
US-amerikanische Geräte unterliegen dem Zwang des „lawful acces by design“, deshalb ist es sehr glaubwürdig was Reuters veröffentlichte, nämlich, dass eine seriöse Verschlüsselung der iCloud seitens Apple „aufgrund von Gesprächen mit dem FBI“ unterlassen wurde (Fundstelle oben).
Vertreter von US-Sicherheitsbehörden drängen im Dialog mit der EU darauf, das Prinzip „Privacy by Design“ mit dem Pendant „Lawful Access by Design“ zu kontern.
Sämtliche EIGENE Meinungsäußerungen der EU basieren meines Erachtens auf Informationen und auf dem Drängen der Five Eyes.
Die EU hat mit Bezug auf Internetspionage kaum eigene technische Kompetenz. Die Five Eyes sind Vorreiter, üben permanent die perversesten Anwendungsszenarien wie Snowden belegte. Das ist ein ähnlich absurder Kampf wie der der Datenschützer gegen Microsoft, wo immer wieder klar wird, dass die Datenschützer VÖLLIG überfordert sind (35 Millionen Programmzeilen) und „Berater“ von Microsoft benötigen … mit dem entsprechenden Beratungsergebnis („alles ok“).
„lawful acces by design“ wäre dann einen Pfifferling wert, wenn es denn ein US-law gäbe, was uns schützt.
Es gibt insoweit nur einen alten völkerrechtlichen Vertrag, dessen wirkungslose Klausel jeden Juristen lachen lässt.
Lawful access bedeutet für uns:
US-Bürger sind geschützt, wir US-Ausländer sind vogelfrei, was unsere intimsten Daten angeht.
Die US-Behörden müssen sich nicht einmal an das per se lächerliche und wohl zum 3. Mal auch illegale „Safe Shield“ halten: Das gilt nur für die selbstzertifizierten (!) US-Datenkraken, denen aber wiederum gestattet ist, ihre AGB wie üblich zu gestalten:
„Der Schutz ihrer Daten ist uns wichtig. Wir übergeben ihre Daten an dritte nur, wenn a) … b) … c) uns eine Behörde oder ein Gericht rechtmäßig dazu auffordert … d) … e) …“
Wann ist eine solche Aufforderung rechtmäßig? Wenn sie nicht gegen ein Schutzgesetz verstößt. Für uns Nicht-US-Staatsbürger gibt es aber kein US-Schutzgesetz, weil die US-Rechtsordnung uns nicht als vollwertige Menschen anerkennt während wir das ausdrücklich tun - Art. 8 EU-Grundrechtecharta gilt für alle „Menschen“, jeder US-Bürger darf sich vor jedem Gericht der EU darauf berufen.
Also dürfen die Daten übergeben werden.
Still und heimlich.
Auch in Massen …
Ich frage mich, warum man Apple da mehr als anderen trauen sollte - oder gar sich selber, wenn man einen VPN z.B. mit WireGuard nach Hause oder zum eigenen Cloudserver selber betreibt!? 
In den Datenschutzerklärungen zu VPN mahnt Apple die eigenen Kunden überdies dazu, nur VPN-Dienste zu verwenden, denen sie vertrauen. Der VPN-Anbieter könne schließlich "Onlineaktivitäten einsehen, mitverfolgen und modifizieren. Mit dem iCloud Privat-Relay betreibt Apple einen eigenen Dienst, der die IP-Adresse des Nutzers vor Webseiten und Netzwerkbetreibern verbergen soll. Dieser Schutz greife nicht mehr, wenn eine VPN-Verbindung aufgebaut wird, so Apple.
Und ich frage mich, wenn ich DNS-Records/Domains mit meinem Pi-hole in meinem VPN blocke, dann geht doch auch nicht mehr „der Appe-Traffic“ am VPN vorbei, weil der gar nicht mehr stattfinden kann. Oder? 
Wenn Apple direkt eine Verbindung über IP aufbaut, dann nützt dir ein DNS-Blocker nicht viel, weil es ja nix zum Auflösen und damit zum Blocken gibt.
Und wenn Apple implementiert, dass bestimmte Daten an einem evtl. aktiven VPN-Tunnel vorbeigehen, dann ist das eben so implementiert, quasi eine Art Split-Tunneling von Apple. Und wenn das nur für Mobilfunk geht, dann kann man sich da auch nicht dazwischenschalten wie bei einem öffentlichen WLAN auch.
Wenn Verbindungen über IP-Adressen statt Hostnames aufgebaut werden, dann gebe ich dir auf jeden Fall Recht, dass der DNS-Blocker da nix mit zu tun hat 
Aber hat das jemand mal irgendwie nachgeschaut, was und wie genau Apple das anstellt? Wenn ich zuhause in meinem WLAN bin und einen Tunnel zu meinem WireGuard-Server aufbaue, dann sollte z.B. mein Router gar keinen Traffic mehr vom iPhone sehen
Das wäre schon ein starkes Stück, wenn Apple dies nur unter Mobilfunk so implementiert…
Aber wie wollen sie prüfen, ob ich nicht via Mobilfunk eine VPN Verbindung nutze?
Vermutlich können sie dass, da interne System VPNs oder Apps nur eine gewisse Schnittstelle nutzen, die Apple überwacht…
Apples iOS Betriebssysteme arbeitet stark mit sogenannten Per-App-VPNs, was wie ich vermute die Grundlage für verschiedene Kommunikation im und außerhalb des VPNs sein dürfte.
Bei einem Per-App-VPN wird einer App ein VPN-Tunnel zugewiesen durch den die diese dann kommuniziert. Apps auf demselben System können andere VPN-Tunnel oder auch eine direkte Kommunikation ins Netzwerk aufbauen und die Tunnel sind gleichzeitig auf dem iOS-System aktiv. Meines Wissens nach haben hierbei Per-App-VPNs eine höhere Priorität als ein systemweit konfigurierte VPN-Tunnel.
Der Grund für dieses etwas andere VPN-Design ist, dass iOS Geräte häufig parallel für einen dienstlichen (managed) und privaten (unmanaged) Kontext verwendet werden. Eine Firma kann über die Per-App-VPNs also dienstlichen Apps den Zugang zu den internen Firmeninfrastrukturen erlauben, während die privaten Apps der Mitarbeiter weiterhin direkt ins Internet gehen und beides quasi gleichzeitig auf demselben Gerät genutzt wird.
Meine Vermutung ist, dass Apple einige wichtige Systemprozesse ebenfalls über ebensolche eigene VPN- / Netz-konfigurationen ähnlich eines Per-App-VPN laufen lässt um deren Verfügbarkeit zu gewährleisten und dieses als „am Tunnel vorbei kommuniziert“ auffällt.
Vom Gesichtspunkt der vollständigen Kontrolle / Prüfung der Kommunikation, wie Sie hier typischerweise angestrebt wird, ist dieses Verhalten natürlich ungewünscht. Als Firma hingegen ist der Ansatz mit dem Per-App-VPN anstatt eines Per-Device-VPN mit allen Kommunikationsverbindungen jedoch bei einem gemischt dienstlich / privat genutzten Gerät jedoch hilfreich.