Windows DirectAccess basiert auf IPv6 Tunneltechnologie. Windows verwendet die folgenden Protokolle bei der Verbindung zu einem DirectAccess Server. Das Tunnelprotokoll wird dabei von oben nach unten ausgehandelt. Die Protokolle haben alle für sich ihre Vor- und Nachteile. Während die ersten beiden Protokolle 6To4 und Teredo im wesentlichen durch ihre Leistungsfähigkeit punkten ist das letzte Protokoll IPHTTP nahezu in jeder Umgebung verwendbar.
6To4
Das 6To4 Protokoll wird nur Verwendet wenn sowohl Client als auch Server mit öffentlichen IPv4 Adressen ausgestattet sind. Doch selbst wenn ein Gerät eine IP-Adresse in einem Mobilfunknetzt erhält ist diese Adresse meistens hinter einem NAT Gerät. IPv6 Pakete werden über das IP Protokoll Port 41 in IPv4 Pakete gekapselt. 6To4 ist nicht NAT fähig und kommt daher sehr selten zum Einsatz.
Teredo
Bei Teredo werden IPv6 Pakete über UDP Port 3544 in IPv4 Pakete verpakt. Teredo wird verwendet wenn der Client eine private IPv4 Adresse hinter einem NAT Gerät verwendet oder bei der Verwendung einer öffenlichen IPv4 Adresse das 6To4 Tunnelprotokoll nicht zur Verfügung steht (Protokoll deaktiviert oder Port 41 nicht freigegebn). Teredo kann nur Verwendet werden wenn der DirectAccess Server zwei öffentliche, aufeinanderfolgende IPv4 Adressen verwendet.
IPHTTP
Bei der Verwendung des IPHTTP Protokolls werden IPv6 Pakete mit HTTP SSL/TLS in IPv4 Pakete verpackt. Da HTTP/HTTPS in den meisten Firewalls erlaubt ist kann ein Client nahezu immer eine IPHTTP Verbindung mit dem DirectAccess Server herstellen. Unter Windows 7 weist die Verwendung des IPHTTP Protokolls jedoch eine schwäche auf. Windows 7 wie auch Windows 8 nehmen wie oben erwähnt eine SSL/TLS Verschlüsselung des IPv6 Datenstroms vor. Der IPv6 Datenstrom ist jedoch bereits in sich IPSec. verschlüsselt. Das führt zu einer sogenannten „double encryption“. Der DirectAccess Server muss also zunächst den SSL/TLS Datenstrom entschlüsseln und anschließend den IPSec. Datenstrom. Dies führt zu einem erhöhten Rechenaufwand auf Seiten des DirectAccess Servers. Windows 8 DirectAccess Clients erkennen das der Datenstrom bereits verschlüsselt ist und verwenden beim kapseln in SSL/TLS eine „null chipher encryption suite“.