Solange der VPN Client seine Verbindung als Default Route einrichtet wird auf DNS verschlüsselt zum VPN Server gesendet.
Viele VPN Server bieten auch einen alternativen Port an zu dem OpenVPN verbindet, z.B. :8080, da muss der Betreiber des Access Points schon deep packet inspection betreiben...

Wenn man jetzt einen VPN drin hat und der Port 53 verschlüsselt wird, bringt es nur was gegen Hacker im WLAN

Nicht sicher was damit gemeint ist.