Il existe deux types de réseaux privés virtuels :

VPN de site à site

Un VPN de site à site est créé lorsque les périphériques situés des deux côtés de la connexion VPN connaissent par avance la configuration VPN, comme le montre la figure. Le VPN reste statique et les hôtes internes ne savent pas qu'un VPN existe. Dans un VPN de site à site, les hôtes finaux envoient et reçoivent le trafic TCP/IP normal par l'intermédiaire d'une « passerelle » VPN. La passerelle VPN est responsable de l'encapsulation et du chiffrement de la totalité du trafic sortant issu d'un site spécifique. La passerelle VPN envoie ensuite ce trafic sur Internet par le biais d'un tunnel VPN jusqu'à une passerelle VPN homologue au niveau du site cible. Lors de la réception, la passerelle VPN homologue élimine les en-têtes, déchiffre le contenu et relaie le paquet vers l'hôte cible au sein de son réseau privé.

Un VPN site à site est une extension d’un réseau étendu classique. Les VPN site à site connectent entre eux des réseaux entiers. Ils peuvent par exemple connecter un réseau de filiale au réseau du siège d’une entreprise. Par le passé, une connexion par ligne louée ou Frame Relay était requise pour connecter des sites, mais comme la plupart des entreprises disposent aujourd'hui d’un accès Internet, ces connexions peuvent être remplacées par des VPN site à site.