Check Point, Cisco i Secure Computing pozwalają na kontrolowanie przydziału adresów na podstawie grup użytkowników. Cisco korzysta także z serwera DHCP.

Wewnętrzne adresowanie jest jednym z bardziej przydatnych mechanizmów w korporacyjnych VPN. Jeżeli jednak implementacja adresacji wewnętrznej nie jest kompatybilna z architekturą wdrażanego VPN, to wszystko może się rozsypać.

Symantec implementuje wewnętrzną adresację, wykonując translacje adresów klientów VPN po stronie centralnego ośrodka. Jest to rozsądne rozwiązanie, unikające niestandardowego IPSec, ale w wypadku aplikacji pracującej za pośrednictwem VPN trudność może sprawić właściwa translacja (taka jak VoIP via H.323) lub brak jej obsługi w kodzie Symantec NAT.

Uwierzytelnianie

Jednym z najtrudniejszych elementów wdrożenia zdalnego dostępu VPN jest uwierzytelnianie, ponieważ standard IPSec zakłada tylko jeden jego typ: certyfikaty oparte na PKI (Public Key Infrastructure). Bardzo mało firm ma rozwiniętą infrastrukturę PKI do uwierzytelniania, co w praktyce oznacza, że jedynym sposobem zbudowania działającego zdalnego dostępu VPN opartego na IPSec jest ominięcie standardów.

NetScreen zaprojektowała proces uwierzytelniania zdalnego dostępu VPN, który "owija" własny protokół wokół IPSec. Najpierw uwierzytelnia się na serwerze reguł, używając klienta NetScreen, w celu uzyskania kopii aktualnych reguł. Od tego momentu do uwierzytelniania używa się standardowych funkcji IPSec.

W ocenie funkcji uwierzytelniania przyjęto dwa podejścia. Pierwsze to użycie istniejącego systemu uwierzytelniania, którym może być usługa RADIUS (Remote Authentication Dial-In User Service), połączona opcjonalnie z tokenami lub nawet starszą bazą danych identyfikatorów użytkowników i ich haseł, taką jak baza danych uwierzytelniania Windows. Drugie to certyfikaty cyfrowe oparte na PKI, zaprojektowane do wielu aplikacji i przechowywane w Smart Cards.

RADIUS nie sprawia większych kłopotów. Rozwiązanie Symantec komunikuje się z katalogiem LDAP, domenami Windows NT i bezpośrednio z serwerami Cryptocard, SecurID, S/Key i Defender w wypadku uwierzytelniania z tokenem.

Jeden z kilku dostawców integrujących usługi VPN i rejestrowanie przydziału tokenów każdemu użytkownikowi w jednym rozwiązaniu to Secure Computing. Jeżeli jest już dwuskładnikowe uwierzytelnianie, to właśnie produkt tej firmy pozwala na skrócenie czasu wdrażania. Firma integruje proces rejestracji dwuskładnikowej tokenem z serwerem webowym i znacznie upraszcza trudny proces wydawania i rejestracji tokenów. Jeżeli serwer VPN nie jest wygodny, nadal można używać narzędzi rejestracji z każdym innym produktem VPN.

Certyfikaty to sprawa bardziej skomplikowana. Infrastrukturę do zarządzania certyfikatami i technologiami powiązanymi (takimi jak Smart Cards) zapewnił Microsoft w Windows 2000 (i XP). Jeżeli używany jest Cryptographic API (CAPI), wtedy automatycznie uzyskuje się obsługę prawie wszystkich czytników kart i formatów certyfikowania funkcjonujących na świecie. Jednakże certyfikacyjna część CAPI nie jest dostępna w Windows 98 czy NT. Do własnej obsługi certyfikatów są potrzebne dwie implementacje takiego produktu: jedna zgodna z CAPI do Windows 2000 (i wyższych) oraz druga, napisana przez użytkownika, do wszystkich innych wersji.

Check Point obsługuje CAPI w sposób prosty, ale pracuje bez zarzutu. SonicWall nie obsługuje CAPI. Cisco obsługuje certyfikaty, ale nie obsługuje kluczy dłuższych niż 2048 bitów.

Avaya i NetScreen obsługują certyfikaty, ale konieczne jest logowanie do menedżera reguł - przy użyciu nazwy użytkownika i hasła - w celu uzyskania tych reguł. NetScreen obchodzi problem, sugerując grupy z identyfikatorem i hasłem. Jest to stosowane do powiadomienia serwera reguł o tym, która grupa chce się z nim łączyć.