Quando um pacote é transmitido a partir de um cliente, é enviado através do roteador ou gateway VPN, o qual adiciona um Cabeçalho de Autenticação (Authentication Header - AH) para o roteamento e autenticação. Os dados são então criptografados e, finalmente, fechados com um Encapsulating Security Payload (ESP). Este último estabelece as instruções de descriptografia e manuseio.

O roteador VPN receptor depura as informações de cabeçalho, descriptografa os dados e os roteia ao destino pretendido (uma estação de trabalho ou um nó em uma rede). Usando uma conexão rede-a-rede, o nó receptor da rede local recebe os pacotes descriptografados e prontos para processar. O processo de criptografia/descriptografia numa conexão VPN rede-a-rede é transparente para o nó local.

Com um nível tão elevado de segurança, não basta ao cracker interceptar o pacote, mas também descriptografar o pacote. Intrusos que aplicarem um ataque man-in-the-middle entre um servidor e o cliente também devem ter acesso à pelo menos uma das chaves privadas para sessões de autenticação. Como aplicam diversas camadas de autenticação e criptografia, as VPNs são um meio seguro e efetivo para conectar múltiplos nós remotos para atuar como uma intranet unificada.