Bardzo ważną cechą związaną z założeniami sieci VPN, jest konstrukcja routingu między oddziałami. Zaleca się przy tym, by cały ruch przechodził wewnątrz tunelu, co oczywiście eliminuje punkty "wycieku" informacji poza sieć firmową. W punkcie centralnym można wtedy zainstalować urządzenia (zapory, IPS), które spójnie wymuszą założenia korporacyjnej polityki bezpieczeństwa.

Sprawą otwartą jest propagowanie trasy domyślnej do oddziałów. Wyłączenie tej opcji powoduje, że z oddziału nie są możliwe bezpośrednie połączenia do Internetu i w punkcie centralnym (zazwyczaj w centrali firmy) musi być zainstalowany serwer pośredniczący (proxy). Jest to jednak bardzo bezpieczne rozwiązanie, które poważnie utrudnia infekcje w firmie. Jeszcze skuteczniejszym sposobem minimalizacji zagrożenia jest oddzielenie podsieci w oddziałach i maksymalne ograniczanie ruchu między nimi. Przy włączonym propagowaniu trasy domyślnej, możliwe jest bezpośrednie "wyjście na świat" przez firmową zaporę sieciową. Konfiguracja taka jest znacznie prostsza do utrzymania, ale pozostawia pewien margines ryzyka, spowodowany tym, że z dowolnego oddziału można próbować połączyć się z Internetem bez autoryzacji na serwerze pośredniczącym.

Wybór technologii

Najtańszym rozwiązaniem jest prosty tunel IPSec zrealizowany za pomocą tanich routerów z segmentu SOHO. Przy dobrej konfiguracji zapewnia minimum bezpieczeństwa, ale nie nadaje się do eksploatacji wielu aplikacji biznesowych przy ograniczonym paśmie i nie nadaje się do pracy w korporacji, ze względu na ograniczone możliwości zarządzania. Podobnie, można mieć zastrzeżenia odnośnie do jakości implementacji ważnego elementu kryptograficznego, jakim jest bez wątpienia generator liczb losowych.

Po drugiej stronie skali znajduje się łącze realizowane w całości przez operatora, najczęściej w technologii MPLS. Pakiety przechodzące wewnątrz tego tunelu mają zagwarantowane bezpieczeństwo.

Najważniejszą różnicą jest jednak jakość usługi, wynikająca stąd, że MPLS natywnie wspiera klasy usług. IPSec wykorzystuje do połączeń Internet, który jest siecią best effort i nie uwzględnia żadnych znaczników QoS, nawet jeśli byłyby ustawione przez operatorów. Wynika to stąd, że niezależnie od konfiguracji danych przesyłanych tunelem IPSec, nie można zagwarantować dobrej jakości usług w każdych warunkach. Niemniej do firm, w których nie są wykorzystywane wysoce krytyczne aplikacje, nawet prosty tunel się sprawdzi. Gdy wykorzystuje się jednak wiele aplikacji, wśród których pracują usługi wymagające dobrej jakości połączeń, zwykły tunel IPSec uruchomiony przez Internet (a nawet między różnymi operatorami) nie spełni pokładanych w nim nadziei.