Ebben a módban a teljes eredeti csomag újból becsomagolódik és titkosításra kerül, valamint új fejlécet kap. Ez lehetőséget ad arra, hogy az olyan eszközök, mint például a routerek IPSec proxy-ként funkcionáljanak, azaz a hostok helyett ezek végezzék el a titkosítást, és a dekódolást. A tunnel módban az IPSec-et alkalmazó gépek átjáróként funkcionálnak és akárhány logikailag az átjáró mögött elhelyezkedő gép forgalmát képesek továbbítani a tunnelben. A kliens gépeken semmilyen IPSec-hez kapcsolódó feldolgozást nem szükséges végezni, az egyetlen kritérium, hogy az útválasztó táblájukban szerepeljen a megfelelő IPSec átjáró címe. Ez a módszer nagyobb védettséget nyújt a forgalomelemzés ellen, mivel az eredeti fejlécek is rejtve maradnak, így a támadó nem tudja, hogy pontosan hova voltak címezve a csomagok, csak azt, hogy melyik két átjáró között mentek át (még azt sem tudja megkülönböztetni, hogy konkrétan az átjárónak szóltak, vagy a logikailag a mögött elhelyezkedő gépeknek). Vigyázat ! Átlapolódó, vagy azonos alhálózatok nem köthetőek össze, ezért a címtartományt úgy kell választani, hogy külön-külön alhálózatba essenek az egyes átjárókhoz tartozó gépek.
