Я думаю, что таки переброс, например VPN->TOR->VPS будет норм. Допустим вычислили при втором переходе, некто берёт и ищет уязвимость в TOR, допускаем что он узнал конечный айпи от VPN, а провайдер VPN, если он нормальный - логи не отдаст, да ещё и скажет, что он их не ведёт и всё у них хранится в виртуальной памяти. И вот на данном этапе возникает проблема у этого некто. И на всякий случай надо искать провайдера с шифрованием от Вас до начального сервера, так меньше шансов. Ещё меньше шансов, если отключить всякие там js, flash, silverlight.