V první řadě bych zkusil přestat označovat IPsec jako VPN a doporučil bych uvažovat v prostředí, kde IPsec vzniklo - v IPv6. Bude to jasnější.
Představte si dvě sítě IPv6, propojené routerem. Obě sítě jsou mezi sebou routované, tudíž všechny počítače v jedné síti vidí na všechny počítače v druhé síti. Teď vložte mezi obě sítě internet. U IPv6 adresy jsou veřejné, obě sítě tedy na sebe pořád vidí. Potíž je, že jedna síť je třeba v Praze, druhá síť na pobočce v Brně a přenos je zajištěný po internetu, kde se na pakety může kdokoliv podívat. Vašim zájmem je proto provoz mezi routerem v Praze a routerem v Brně zašifrovat. Pomocí IPsec můžete proto všechen provoz mezi oběma routery zapnout šifrování. U IPv6 tímto úloha IPsec končí. Nastavení je jednoduché a zcela bez záludností. Žádný "tunel" nebo "VPN" zde není - pouze se šifruje provoz mezi dvěma sítěmi (pomíjím rozíly mezi režimy transport a tunel).
Do toho přichází IPv4 se svým zoufalým nedostatkem adres a natem na každém rohu. Sítě na pobočkách mezi sebou v normálním stavu nevidí, někde něco mezi routery samovolně mění adresy (NAT), nebo dokonce svévolně ukončuje spojení (NAT). Počítače mají přístup na internet pouze zprostředkovaný, bez skutečného připojení.
Abyste se dostal na zařízení, které není připojené k internetu, musíte si před tím z takového zařízení udělat tunel někam, kde přístup k internetu je. K tomu lze použít PPTP. To můžete použít například i v případě, že jedné ze sítí se mění IP adresa. Pokud chcete zabezpečit dvě sítě na pobočkách, obvykle PPTP nepotřebujete.
Na firewallu se pak musíte duševně vyrovnat se skutečností, že na venkovním rozhraní firewallu se vám objevují "vnitřní" adresy druhé sítě (pokud použijete racoon, setkey) a zohlednit tento stav v pravidlech firewallu.
Jestli máte zprovozněné IPv6, doporučuji vám začít experimentovat s IPsec právě na IPv6, je to jednodušší a srozumitelnější. IPv4 zkuste, až když vám bude fungovat IPsec na IPv6.