Cuando se usa en modo túnel, IPsec trata el paquete IP como una carga útil. Por lo tanto, toda esta información está encriptada. Para poder enrutarse correctamente, la entidad habilitada para IPSec genera un nuevo paquete.
Este paquete IP está diseñado para ser enviado al final del túnel, por ejemplo. Otra pasarela IPSec. Para lograr esto, el nuevo paquete de IP tendrá un nuevo encabezado de IP, con el IP de destino configurado para esta dirección de equipo en particular. El resto del paquete contendrá los datos ESP tradicionales compuestos por un encabezado, carga útil (el paquete original) y datos de autenticación.
Aquí hay un esquema del paquete y su encapsulación en un paquete IPSec en modo túnel:
+--------------------+----------------------------+
| Original IP-Header | Encapsulated protocol data |
+--------------------+----------------------------+
| |
| |
+-----------+------------+--------------------+----------------------------+-------------+---------------------+
| IP-Header | ESP Header | Original IP-Header | Encapsulated protocol data | ESP Trailer | Authentication data |
+-----------+------------+--------------------+----------------------------+-------------+---------------------+
|<--------------------------Encrypted-------------------------->|
|<---------------------------------------Authenticated---------------------->|
El principal interés del modo túnel es proteger las direcciones (internas) de una red. Puede tomar como ejemplo una empresa con dos oficinas separadas por X kilómetros. Se configuran dos pasarelas IPSec y todo el tráfico de una red a la otra se encapsula en el túnel IPSec. Lo único que puede ver un extraño es que las dos puertas de enlace se comunican entre sí mediante el protocolo IPSec. Lo que hay dentro podría ser cualquier tipo de comunicación.
El paquete IPSec seguirá las reglas de enrutamiento de Internet.