Protokół IPsec umożliwia tunelowanie w warstwie 3 w scenariuszach, w których nie można użyć protokołu Layer Two Tunneling Protocol (L2TP). Jeśli do komunikacji zdalnej używany jest protokół L2TP, konfiguracja tunelu nie jest potrzebna, ponieważ składniki wirtualnej sieci prywatnej (VPN, virtual private network) klienta i serwera w systemie Windows automatycznie tworzą odpowiednie reguły zabezpieczające ruch L2TP.
W celu utworzenia tunelu w warstwie 3 przy użyciu protokołu IPsec należy użyć przystawki Zasady zabezpieczeń IP lub Zasady grupy do skonfigurowania i włączenia następujących dwóch reguł dla odpowiednich zasad:
- Reguła ruchu wychodzącego dla tunelu. Dla reguły ruchu wychodzącego konfiguruje się listę filtrów opisującą ruch, który ma być wysyłany przez tunel, oraz punkt końcowy tunelu o adresie IP skonfigurowanym na partnerze (komputerze lub routerze) IPsec po drugiej stronie tunelu.
- Reguła ruchu przychodzącego dla tunelu. Dla reguły ruchu przychodzącego konfiguruje się listę filtrów opisującą ruch, który ma być odbierany przez tunel, oraz punkt końcowy tunelu o lokalnym adresie IP (komputera lub routera po lokalnej stronie tunelu).
 | Uwaga |
Należy utworzyć filtry zarówno dla ruchu przychodzącego, jak i wychodzącego dla każdego tunelu. Jeśli zostaną utworzone filtry tylko dla jednego kierunku, reguła nie zostanie zastosowana. |
Podczas tworzenie zasad dla komputera z systemem Windows Vista lub nowszą wersją systemu Windows można określić adres IPv4 albo IPv6. Należy określić punkty końcowe dla każdej strony tunelu, a wersja protokołu adresu musi być taka sama po obu stronach. To znaczy, że jeśli określono adres IPv6 dla źródłowej strony tunelu, to dla jego strony zdalnej również należy użyć adresu IPv6.
Ponadto dla każdej z tych reguł trzeba określić akcje filtru, metody uwierzytelniania i inne ustawienia.