Cơ sở hạ tầng của mạng chi nhánh là một phần tử quan trọng của thiết kế VPN. Các Router gọi không thể chuyển tiếp các gói mà không có cơ sở hạ tầng định tuyến thích hợp được đặt vào vị trí thích hợp
1. Trình phân giải tên
Nếu Router gọi được cấu hình với các địa chỉ IP của DNS, các địa chỉ IP DNS không được yêu cầu bởi Router trả lời trong khi thương lượng kết nối PPP. Nếu Router gọi không được cấu hình với các địa chỉ IP của DNS, DNS được yêu cầu. Router gọi không bao giờ yêu cầu địa chỉ IP của DNS từ Router gọi. Theo ngầm định, Router gọi không đăng ký nó với DNS của Router trả lời
2. Định tuyến
Mỗi Router mạng riêng ảo là một Router IP và như vậy phải được cấu hình đúng với tập các Router làm cho tất cả các vị trí đều có thể kết nối tới được. Đặc biệt, mỗi Router mạng riêng ảo cần như sau:
- Một đường định tuyến mặc định hướng tới một Firewall hay Router đã kết nối trực tiếp với Internet: Đường định tuyến này làm cho tất các các vị trí trên Internet đều có thể kết nối tới được. Không có một đường định tuyến mặc định, sẽ không có cách nào để định tuyến luồng lưu lượng tới Internet và tất các các gói có địa chỉ sẽ bị loại bỏ tại Router VPN
- Một hoặc nhiều đường định tuyến tập hợp các địa chỉ sử dụng trong nhánh mạng của Router VPN hướng tới Router nhánh mạng kề cận: Các đường định tuyến này làm cho tất cả các vị trí trong nhánh mạng của Router VPN có thể kết nối tới được từ Router VPN. Không có các đường này, tất cả các host trong nhánh mạng không kết nối được tới cùng subnet khi Router VPN không có khả năng kết nối tới được. Không có cách nào cho các thực thể cuối biết được những subnet nào không nằm trong phạm vị subnet của Router VPN. Vì không có các cập nhật đường định tuyến động qua liên kết, thông tin này cần được cung cấp một cách thủ công. Nếu có các subnet mà nhánh mạng từ xa không nên truy cập, ách đơn giản là loại trừ các subnet này khỏi tập các đường định tuyến tĩnh và chúng sẽ không có khả năng kết nối tới được
Để bổ sung một đường định tuyến mặc định hướng tới Internet, cấu hình giao diện Internet với một cổng kết nối ngầm định và sau đó cấu hình giao diện nhánh mạng không có cổng kết nối ngầm định.
Nếu nhánh mạng chỉ có một subnet đơn, không yêu cầu phải cấu hình thêm và giao thức định tuyến động cũng không cần thiết. Sử dụng giao thức định tuyến động chi trên các liên kết theo yêu cầu quay số lúc được gọi. Định tuyến tĩnh là giải pháp được khuyến cáo để tránh cho các kết nối khỏi bị phá vỡ.
Lúc một kết nối mạng riêng ảo được tạo, mỗi Router gửi luồng lưu lượng sử dụng một giao diện logic tương ứng với cổng PPTP hoặc L2TP của kết nối. Trong khi thương lượng PPP, các địa chỉ IP có thể được gán cho các giao diện lôgic này. Việc đảm bảo rằng các giao diện lôgic của Router VPN có thể kết nối tới được phụ thuộc cách mà ta cấu hình mỗi Router VPN để chứa các địa chỉ IP cho các Client truy cập từ xa.