双方的Windows L2TP / IPsec和思科的IPsec与普通的IPsec不同。

最初，“普通”IPsec 握手协议 (IKEv1) 没有任何功能来协商客户端的 VPN 地址，或推送诸如拆分隧道路由和 DNS 服务器之类的参数。换句话说，您可以使用它来手动创建静态隧道，但它缺乏方便的功能。

Microsoft 和 Cisco 采取了不同的方法来添加必要的功能：

• Windows“L2TP/IPsec”客户端使用 IKEv1 协商 IPsec ESP 传输模式链路（主机-主机），然后承载 L2TP 隧道，隧道地址通过 L2TP 协商。（在这种情况下，L2TP 是真正的“VPN”协议，而 IPsec 仅提供加密。）

• Cisco“IPsec VPN”客户端使用 IKEv1和专有 Cisco 扩展（称为“Unity”，后来称为mode-config）来协商 IPsec ESP 隧道模式链接（站点-站点），以及“虚拟”地址、路由，以及所有您期望的 VPN 功能。

• （一些供应商使用不同的方法。例如，FortiGate 使用 DHCP-over-IPsec。）

因此，虽然两者都建立在标准 IPsec 之上，但它们以不同的方式添加了缺失的功能：Windows 在顶部使用了第二个协议，而 Cisco 直接扩展了 IKE，而这部分需要两个不同的客户端。

请注意，现代 Windows 版本有第二个IPsec VPN 客户端，它使用 IKEv2——IPsec 握手协议的更新版本，它完全合并了 Cisco 扩展（现在称为“缩小”和“模式配置”）。使用 IKEv2，“普通 IPsec”可以单独用作功能齐全的 VPN 协议，希望与其他供应商兼容。

（尽管即使使用 IKEv2，Windows 仍然走自己的路，例如忽略协商的 IPv6 路由作为最烦人的例子之一。）

Windows IPsec 客户端显然存在一些问题。有一些解决方法，例如，here。