Geralmente, o NAT-Traversal IPSec (NAT-T) é usado, onde todos os pacotes IPSec são empacotados em pacotes UDP na porta 4500. Os cabeçalhos UDP / IP não criptografados externos são modificados pelo NAT, mas os cabeçalhos IPSec dentro não. O host de recebimento elimina os cabeçalhos UDP / IP externos e, em seguida, manipula o pacote IPSec interno da maneira normal.