如圖。

1. 移動用戶通過窄帶撥號或ADSL撥號t，或直接通過固定IP接入Internet。由ISP進行NAT轉換上internet。
2. 移動用戶可以采用如下L2TP軟件：
Secpoint
3. 要求所有私網數據加密傳輸。

1、 首先建立連接，請參考上一小節的配置。
2、 啟用IPSEC，輸入身份驗證字（也就是Server端的pre-shared key）。
3、 高級中的“IPSEC設置”中，選擇與對端合適的封裝模式、安全協議等內容。如果中間需要經過NAT，則選中“使用NAT穿越”。
4、 IKE設置中，如果是動態公網IP或經過NAT，則均應使用“野蠻模式”，ID類型選擇“名字”，輸入本端和對端的名稱。如果LNS是上面的配置，則本端為 “client”，對端為“lns”。
5、 撥號建立連接。
6、 檢查VPN網關的IPSEC SA建立情況。

說明：
WinXP的HOME版不支持本地安全策略，所以也不支持IPSEC。Profession版本和Win2000可以支持。詳見附件《Windows2000下配置基于PSK方式IPSEC的L2TP客戶的方法.doc》。

1、 以從客戶端發往總部的數據為例，分析報文格式如下：(假定：客戶端從ISP獲得了172.16.1.1的外網地址。從LNS獲得10.1.2.10的地址。)

可見，整個報文中有三層IP頭。
在LNS收到該報文后，必須知道去往172.16.1.1如何回送，否則無法將L2TP封裝后的數據路由到啟用IPSEC的公網口上。
LNS回應報文格式如下：

202.38.1.2為NAT網關變換后的地址。

2、如果L2TP客戶端獲得的地址無需經過NAT即可接入internet，則分析報文格式如下：