Si hace un túnel, es posible pasar a través del NAT con un encabezado externo que se modifica pero se elimina durante la desencapsulación. El encabezado interno permanece exactamente igual que cuando estaba encapsulado y estaba protegido por ESP. Esto se describe en rfc 3715 4.1 .
Si usa el modo de transporte, desea usar el mismo encabezado de IP que NAT ha modificado. Esto no es posible mientras se verifica la integridad, ya que se trata de una violación de la integridad tal como se define para AH.
Si Traversal está configurado, el tráfico parece estar en los puertos UDP (500 o 4500).
El recorrido gestiona el problema de integridad del encabezado del transporte sustituyendo las IP originales. En consecuencia, ambos modos deberían parecer muy parecidos, pero el túnel tiene una sobrecarga de tamaño para mantener un encabezado real y el transporte tiene más manipulación para reconstruir un encabezado, por lo que existe un mayor potencial de fallas en la verificación de integridad.
Como ejemplo, una opción de IP inusual se puede manejar de una manera que está oculta del NAT en modo túnel, mientras que puede causar problemas de compatibilidad en el paquete que se está enrutando.