Mreža i VPN 12 min čitanja

VPN ne radi na Windows 11? Kompletni vodič za helpdesk timove u 2026.

VPN ne radi na Windows 11? Vodič za helpdesk timove s rješenjima za probleme nakon KB5055523, WireGuard na 24H2, Always On VPN prekide i kompletnom PowerShell dijagnostičkom skriptom.

Editorial Team

Uvod: VPN i Windows 11 — vječna borba helpdesk timova

Ako radite na helpdesku, onda ovo sigurno znate. Ponedjeljak ujutro, korisnik radi od kuće, zove panično jer se ne može spojiti na VPN. "Jučer je radilo!" — rečenica koju čujete barem tri puta tjedno. Ponekad i češće.

A u 2026., zahvaljujući Microsoftovim ažuriranjima za Windows 11 24H2, ti pozivi su postali još učestaliji. I ne, problem s VPN-om na Windows 11 nije samo "korisnik ne zna postaviti vezu". Od travnja 2025. naovamo, kumulativna ažuriranja poput KB5055523 doslovno su razbila VPN funkcionalnost za tisuće korisnika — uključujući enterprise okruženja s Cisco Secure Client, OpenVPN i WireGuard klijentima. Microsoft je priznao problem. Rješenja? Dolaze sporo, nažalost.

Ovaj vodič je namijenjen vama — IT helpdesk tehničarima koji se svakodnevno hrvate s VPN problemima na Windows 11. Proći ćemo kroz najčešće probleme u 2026., dijagnostiku korak po korak, PowerShell naredbe za brzu dijagnozu i konkretna rješenja za svaki scenarij. Dakle, krenimo.

Što se promijenilo s VPN-om na Windows 11 tijekom 2025./2026.?

KB5055523 — ažuriranje koje je razbilo VPN

Kumulativno ažuriranje KB5055523 (OS Build 26100.3624), objavljeno u travnju 2025. za Windows 11 24H2, izazvalo je masovne probleme s VPN vezama. Korisnici su mogli uspostaviti VPN tunel, ali nisu mogli pristupiti internim resursima — ni serverima, ni aplikacijama, ni web stranicama koje su inače normalno dostupne putem VPN-a.

Potvrđeni uzrok: virtualna mrežna sučelja VPN klijenata prestala su odgovarati na ARP (Address Resolution Protocol) zahtjeve, koji mapiraju IP adrese na MAC adrese. Bez ispravnog ARP odgovora, paketi jednostavno ne stižu na odredište — čak i kad je tunel tehnički aktivan. Frustrirajuće, zar ne?

Pogođeni klijenti:

  • OpenVPN 2.6.12 — tuneli se uspostavljaju, ali podaci ne prolaze
  • Cisco Secure Client (bivši AnyConnect) — povezivanje uspije, pristup internim resursima ne
  • WireGuard — klijent kaže da je spojen, internetski promet ne prolazi kroz tunel
  • FortiClient VPN — isti simptomi kao kod Cisco klijenta

Windows 11 24H2 i WireGuard — poseban slučaj

Nadogradnja na Windows 11 24H2 donijela je dodatne probleme specifično za WireGuard. Korisnici koji su mjesecima uspješno koristili WireGuard 0.5.3 odjednom su otkrili da nakon nadogradnje tunel više ne prenosi podatke.

A evo što je posebno neugodno — čak ni deinstalacija ažuriranja ne vraća stanje na staro. Razlog? 24H2 mijenja mrežne postavke i drivere na razini koju jednostavno uklanjanje ažuriranja ne poništava. To je nešto što smo vidjeli na vlastitoj koži kod više korisnika.

Identificirani uzrok: problem je povezan s Virtual Machine Platform (VMP) značajkom. Ako je VMP onemogućen u 24H2, WireGuard ne funkcionira. Više o rješenju u nastavku.

WSL + VPN — korporativni problem

Za timove koji koriste Windows Subsystem for Linux (WSL), situacija je još kompliciranija. Poznati problem utječe na korisnike koji su instalirali KB5067036 (listopad 2025.) ili bilo koje naknadno ažuriranje. Kad je omogućen mirrored mode networking, VPN aplikacije trećih strana gube pristup korporativnim resursima, a korisnici u WSL okruženjima dobivaju grešku "No route to host".

Ako vaša organizacija koristi WSL u kombinaciji s VPN-om, ovo je definitivno nešto na što trebate obratiti pažnju.

Najčešći VPN problemi na Windows 11 i kako ih riješiti

Problem 1: VPN se ne može spojiti nakon ažuriranja

Ovo je daleko najčešći poziv u 2026. Korisnik ažurira Windows, sljedeći dan VPN ne radi. Simptomi variraju — od potpunog odbijanja veze do uspostavljenog tunela bez pristupa resursima.

Koraci za dijagnostiku:

  1. Provjerite koje je ažuriranje nedavno instalirano
# Prikaz nedavno instaliranih ažuriranja
Get-HotFix | Sort-Object InstalledOn -Descending | Select-Object -First 10 |
Format-Table HotFixID, InstalledOn, Description -AutoSize

# Specifična provjera za poznata problematična ažuriranja
Get-HotFix | Where-Object { $_.HotFixID -in @("KB5055523", "KB5067036", "KB5077181") } |
Format-Table HotFixID, InstalledOn -AutoSize
  1. Testirajte osnovnu mrežnu povezanost
# Provjera internetske veze
Test-Connection -ComputerName 8.8.8.8 -Count 4

# Provjera DNS rezolucije
Resolve-DnsName google.com

# Provjera VPN poslužitelja (zamijenite s vašom adresom)
Test-NetConnection -ComputerName vpn.firma.hr -Port 443
  1. Ako je problem uzrokovan KB5055523 ili sličnim ažuriranjem, privremeno ga uklonite:
# Uklanjanje problematičnog ažuriranja (zahtijeva admin prava)
wusa /uninstall /kb:5055523 /quiet /norestart

# Ili putem DISM-a
dism /online /remove-package /packagename:Package_for_KB5055523~31bf3856ad364e35~amd64~~10.0.1.0

Važno: Uklanjanje kumulativnog ažuriranja uklanja i sve sigurnosne zakrpe iz tog paketa. Ovo je privremeno rješenje dok Microsoft ne objavi ispravku — nemojte to zaboraviti.

Problem 2: WireGuard ne radi nakon nadogradnje na 24H2

Ako korisnik koristi WireGuard i nedavno je nadogradio na Windows 11 24H2, tunel se uspostavlja, ali podaci ne prolaze. Klasični simptom — sve izgleda uredno, a ništa ne radi.

Rješenje 1: Omogućite Virtual Machine Platform

  1. Otvorite Upravljačku ploču > Programi > Uključi ili isključi značajke sustava Windows
  2. Označite Virtual Machine Platform
  3. Kliknite OK i restartajte računalo

Ili putem PowerShella (brže, iskreno):

# Omogućavanje Virtual Machine Platform
Enable-WindowsOptionalFeature -Online -FeatureName "VirtualMachinePlatform" -NoRestart

# Provjera stanja značajke
Get-WindowsOptionalFeature -Online -FeatureName "VirtualMachinePlatform"

# Restart računala
Restart-Computer -Force

Rješenje 2: Prilagodite WireGuard konfiguraciju

Uklonite IP adresu klijenta iz AllowedIPs retka na strani gateway-a u WireGuard konfiguracijskoj datoteci. Ta adresa je navedena u [Interface] sekciji pod Address. Zvuči jednostavno, a često je upravo to ono što nedostaje.

Problem 3: Always On VPN se nasumično prekida

Enterprise korisnici s Always On VPN profilima implementiranim putem Microsoft Intune-a prijavljuju nasumične prekide veze na Windows 11 uređajima. Isti profil na Windows 10? Radi savršeno. Naravno.

Uzrok: Intune pri svakoj sinkronizaciji uređaja uklanja i ponovo postavlja VPN profil — čak i kad nema nikakvih promjena u konfiguraciji. Ovo prekida aktivnu VPN vezu svakom sinkronizacijom, što je, blago rečeno, problematično.

Rješenja:

  • Implementirajte VPN profil putem PowerShella ili SCCM-a umjesto Intune-a — ti načini implementacije nemaju isti problem
  • Koristite Dynamic Profile Configurator (DPC) kao alternativu
  • Provjerite VPN profil putem WMI-ja:
# Provjera VPN profila i konfiguracije
Get-VpnConnection | Format-List Name, ServerAddress, TunnelType, AuthenticationMethod, ConnectionStatus

# Detaljnija provjera putem WMI-ja
Get-WmiObject -Namespace "root\cimv2\mdm\dmmap" -Class "MDM_VPNv2_01" |
Select-Object InstanceID, ProfileXML

Problem 4: VPN veza se prekida svako malo

Nasumična prekidanja VPN veze frustriraju korisnike i generiraju gomilu tiketa. Uzroci mogu biti razni — od nestabilnog Wi-Fi-ja do agresivnih postavki upravljanja energijom (ovo je češće nego što mislite).

Koraci za dijagnostiku i rješavanje:

  1. Provjerite upravljanje energijom mrežnog adaptera
# Provjera postavki upravljanja energijom za mrežne adaptere
Get-NetAdapter | ForEach-Object {
    $adapter = $_
    $powerMgmt = Get-NetAdapterPowerManagement -Name $adapter.Name -ErrorAction SilentlyContinue
    [PSCustomObject]@{
        Adapter = $adapter.Name
        Status = $adapter.Status
        AllowComputerToTurnOff = if ($powerMgmt) { $powerMgmt.AllowComputerToTurnOffDevice } else { "N/A" }
    }
} | Format-Table -AutoSize
  1. Onemogućite isključivanje adaptera radi uštede energije
# Onemogućavanje upravljanja energijom za sve mrežne adaptere
Get-NetAdapter | ForEach-Object {
    Disable-NetAdapterPowerManagement -Name $_.Name -ErrorAction SilentlyContinue
}
Write-Output "Upravljanje energijom onemogućeno za sve mrežne adaptere."
  1. Provjerite Event Viewer za mrežne greške
# Pregled nedavnih VPN i mrežnih grešaka
Get-WinEvent -FilterHashTable @{
    LogName = "Application"
    ProviderName = "RasClient"
} -MaxEvents 20 | Format-Table TimeCreated, Id, Message -AutoSize -Wrap

# Pregled mrežnih grešaka u System logu
Get-WinEvent -FilterHashTable @{
    LogName = "System"
    Level = 2  # Error
} -MaxEvents 50 | Where-Object {
    $_.Message -match "VPN|Miniport|RAS|PPTP|L2TP|IKEv2|SSTP"
} | Format-Table TimeCreated, Id, Message -AutoSize -Wrap

Problem 5: "Driver is unavailable" ili greška s WAN Miniport adapterima

Windows ažuriranja ponekad prebrišu ili oštete WAN Miniport drivere koji su ključni za VPN veze — WAN Miniport (IP), WAN Miniport (PPTP) i WAN Miniport (IPv6). Ovo se događa češće nego što biste očekivali.

Rješenje: Reinstalirajte WAN Miniport drivere

  1. Otvorite Upravitelj uređaja (Win + X > Device Manager)
  2. Proširite Mrežni adapteri
  3. Desni klik na WAN Miniport (IP) > Deinstaliraj uređaj
  4. Ponovite za WAN Miniport (PPTP) i WAN Miniport (IPv6)
  5. Kliknite Akcija > Potraži promjene hardvera za reinstalaciju

Ili putem PowerShella za brzu provjeru stanja:

# Provjera stanja mrežnih adaptera (uključujući WAN Miniport)
Get-NetAdapter -IncludeHidden | Where-Object { $_.InterfaceDescription -like "*WAN Miniport*" -or $_.InterfaceDescription -like "*VPN*" } |
Format-Table Name, InterfaceDescription, Status -AutoSize

Problem 6: Vatrozid blokira VPN promet

Windows Defender Firewall ili antivirusni softver treće strane mogu blokirati VPN promet — pogotovo nakon ažuriranja sustava koja resetiraju pravila vatrozida. To je jedan od onih problema koji se lako previdi jer se ne pojavljuje očita greška.

Dijagnostika:

# Provjera blokiranih veza u vatrozidu
Get-NetFirewallRule | Where-Object {
    $_.Enabled -eq "True" -and $_.Action -eq "Block" -and $_.Direction -eq "Outbound"
} | Format-Table DisplayName, Profile, Action -AutoSize

# Provjera je li VPN klijent dozvoljen kroz vatrozid
Get-NetFirewallApplicationFilter | Where-Object {
    $_.Program -like "*vpn*" -or $_.Program -like "*openvpn*" -or $_.Program -like "*wireguard*"
} | Format-Table Program, Action -AutoSize

Brzo rješenje — dodajte VPN klijent na listu dozvoljenih:

# Primjer: Dodavanje OpenVPN na listu dozvoljenih
New-NetFirewallRule -DisplayName "Dozvoli OpenVPN" -Direction Outbound -Program "C:\Program Files\OpenVPN\bin\openvpn.exe" -Action Allow -Profile Any

# Primjer za WireGuard
New-NetFirewallRule -DisplayName "Dozvoli WireGuard" -Direction Outbound -Program "C:\Program Files\WireGuard\wireguard.exe" -Action Allow -Profile Any

Kompletna PowerShell dijagnostička skripta za VPN probleme

Evo nečeg što će vam uštediti puno vremena. Ova skripta prikuplja sve relevantne informacije o VPN konfiguraciji i mrežnom stanju računala. Pokrenite je na problematičnom uređaju i spremite rezultate u tiketing sustav — značajno ubrzava eskalaciju i rješavanje problema.

# === VPN DIJAGNOSTIČKA SKRIPTA ZA HELPDESK ===
$timestamp = Get-Date -Format "yyyy-MM-dd HH:mm:ss"
Write-Output "============================================"
Write-Output "VPN DIJAGNOSTIKA - $timestamp"
Write-Output "============================================"

# 1. Informacije o sustavu
Write-Output "`n--- Sustav ---"
$os = Get-CimInstance Win32_OperatingSystem
Write-Output "OS: $($os.Caption) Build $($os.BuildNumber)"
Write-Output "Verzija: $((Get-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion').DisplayVersion)"

# 2. Nedavna ažuriranja
Write-Output "`n--- Nedavna ažuriranja (zadnjih 5) ---"
Get-HotFix | Sort-Object InstalledOn -Descending | Select-Object -First 5 |
Format-Table HotFixID, InstalledOn, Description -AutoSize

# 3. VPN konfiguracija
Write-Output "`n--- VPN profili ---"
Get-VpnConnection | Format-List Name, ServerAddress, TunnelType, AuthenticationMethod, ConnectionStatus, SplitTunneling

# 4. Stanje mrežnih adaptera
Write-Output "`n--- Mrežni adapteri ---"
Get-NetAdapter | Format-Table Name, InterfaceDescription, Status, LinkSpeed -AutoSize

# 5. WAN Miniport status
Write-Output "`n--- WAN Miniport adapteri ---"
Get-NetAdapter -IncludeHidden | Where-Object { $_.InterfaceDescription -like "*WAN Miniport*" } |
Format-Table Name, InterfaceDescription, Status -AutoSize

# 6. DNS konfiguracija
Write-Output "`n--- DNS postavke ---"
Get-DnsClientServerAddress -AddressFamily IPv4 |
Where-Object { $_.ServerAddresses.Count -gt 0 } |
Format-Table InterfaceAlias, ServerAddresses -AutoSize

# 7. Rute
Write-Output "`n--- Tablica ruta (relevantne) ---"
Get-NetRoute -AddressFamily IPv4 |
Where-Object { $_.DestinationPrefix -ne "0.0.0.0/0" -and $_.NextHop -ne "0.0.0.0" } |
Select-Object -First 15 | Format-Table DestinationPrefix, NextHop, InterfaceAlias -AutoSize

# 8. Nedavne VPN greške u Event Logu
Write-Output "`n--- Nedavne VPN greške (Event Log) ---"
try {
    Get-WinEvent -FilterHashTable @{LogName="Application"; ProviderName="RasClient"} -MaxEvents 5 -ErrorAction Stop |
    Format-Table TimeCreated, Id, Message -AutoSize -Wrap
} catch {
    Write-Output "Nema RasClient zapisa u Event Logu."
}

# 9. Provjera vatrozida
Write-Output "`n--- Vatrozid: blokirajuca pravila (Outbound) ---"
Get-NetFirewallRule | Where-Object { $_.Enabled -eq "True" -and $_.Action -eq "Block" -and $_.Direction -eq "Outbound" } |
Select-Object -First 10 | Format-Table DisplayName, Profile -AutoSize

Write-Output "`n============================================"
Write-Output "DIJAGNOSTIKA ZAVRSENA - $timestamp"
Write-Output "============================================"

Rješavanje po protokolu: IKEv2, L2TP, SSTP, OpenVPN, WireGuard

IKEv2 — najčešće greške i rješenja

IKEv2 je preporučeni protokol za Windows ugrađeni VPN klijent, ali zahtijeva ispravne certifikate i otvorene UDP portove 500 i 4500. Kad sve štima, radi odlično. Kad ne štima — onda počinje zabava.

Greška 809 — najčešća greška za IKEv2 vezu:

  • Uzrok: UDP portovi 500 ili 4500 blokirani na vatrozidu ili ruteru
  • Rješenje: Provjerite vatrozid i otvorite potrebne portove
# Provjera dostupnosti IKEv2 portova
Test-NetConnection -ComputerName vpn.firma.hr -Port 500
Test-NetConnection -ComputerName vpn.firma.hr -Port 4500

Greška 0x800B0109 — problem s certifikatom:

  • Uzrok: Uređaj nije član domene ili nedostaje root certifikat CA-a
  • Rješenje: Ručno instalirajte root CA certifikat u Trusted Root Certification Authorities spremište

L2TP/IPsec — tipični problemi

L2TP je stariji protokol koji zahtijeva NAT-T podršku. Iskreno, polako izlazi iz upotrebe, ali mnoge organizacije ga još uvijek koriste. Windows 11 24H2 ponekad resetira ili onemogući L2TP postavke nakon ažuriranja.

# Provjera i postavljanje potrebnih registarskih ključeva za L2TP iza NAT-a
$regPath = "HKLM:\SYSTEM\CurrentControlSet\Services\PolicyAgent"
$regName = "AssumeUDPEncapsulationContextOnSendRule"
$currentValue = Get-ItemProperty -Path $regPath -Name $regName -ErrorAction SilentlyContinue

if ($currentValue) {
    Write-Output "Trenutna vrijednost: $($currentValue.$regName)"
} else {
    Write-Output "Registarski kljuc ne postoji. Postavljam na 2 (NAT-T podrska)..."
    New-ItemProperty -Path $regPath -Name $regName -Value 2 -PropertyType DWord -Force
    Write-Output "Kljuc postavljen. Potreban je restart racunala."
}

OpenVPN — česti problemi na Windows 11

OpenVPN na Windows 11 ovisi o TAP ili Wintun virtualnim adapterima. Microsoftova stroža politika potpisa drivera u 24H2 može blokirati ili ukloniti starije TAP drivere, i to bez ikakve obavijesti korisniku.

Koraci za rješavanje:

  1. Ažurirajte OpenVPN klijent na najnoviju verziju (2.6.x ili novije)
  2. Koristite Wintun adapter umjesto starijeg TAP-Windows6 — moderniji je i znatno bolje podržan na novijim verzijama Windowsa
  3. Provjerite je li TAP/Wintun adapter uopće prisutan:
# Provjera OpenVPN adaptera
Get-NetAdapter | Where-Object { $_.InterfaceDescription -like "*TAP*" -or $_.InterfaceDescription -like "*Wintun*" } |
Format-Table Name, InterfaceDescription, Status -AutoSize

WireGuard — specifičnosti za 24H2

Kao što smo već opisali, WireGuard na 24H2 zahtijeva omogućen Virtual Machine Platform. Ali to nije jedina stvar na koju treba paziti:

  • Ažurirajte WireGuard na najnoviju verziju (0.5.x ili novije)
  • Provjerite AllowedIPs konfiguraciju — previše restriktivna ili pogrešna konfiguracija može uzrokovati gubitak prometa
  • Ako koristite split tunneling, provjerite da su ispravne rute definirane

Savjeti za proaktivno upravljanje VPN problemima

Testiranje ažuriranja prije masovnog uvođenja

Ovo je lekcija koju su mnogi helpdesk timovi naučili na teži način u 2025./2026.:

  • Nikad ne uvodite kumulativna ažuriranja na sve uređaje odjednom — koristite ring-based deployment putem Intune-a ili WSUS-a
  • Testirajte na pilot grupi koja uključuje korisnike s različitim VPN klijentima (Cisco, OpenVPN, WireGuard, ugrađeni Windows VPN)
  • Imajte rollback plan — znate unaprijed kako deinstalirati problematično ažuriranje putem DISM-a ili WUSA-e

Moj savjet? Napravite mali dokument s koracima za deinstalaciju i držite ga na dohvat ruke. Kad se problem dogodi (a dogodit će se), nećete gubiti vrijeme tražeći naredbe.

Dokumentacija VPN konfiguracija

Održavajte ažurnu dokumentaciju za svaki VPN profil u organizaciji. Zvuči dosadno, ali kad nešto krene po krivu u ponoć, bit ćete zahvalni:

  • Protokol (IKEv2, L2TP, SSTP, OpenVPN, WireGuard)
  • Adresa poslužitelja i potrebni portovi
  • Vrsta autentifikacije (certifikat, korisničko ime/lozinka, MFA)
  • Split tunneling konfiguracija
  • Poznati problemi i zaobilazna rješenja

Mrežni reset kao zadnje sredstvo

Kad ništa drugo ne pomaže, potpuni mrežni reset može pomoći. Ali korisnik mora znati na što pristaje:

# Potpuni mrežni reset (koristite s oprezom!)
netsh winsock reset
netsh int ip reset
ipconfig /release
ipconfig /flushdns
ipconfig /renew

# Ili putem Windows postavki:
# Settings > Network & internet > Advanced network settings > Network reset

Upozorenje: Mrežni reset uklanja sve mrežne adaptere i vraća postavke na zadane. Korisnik će morati ponovo konfigurirati Wi-Fi, VPN profile i ostale mrežne postavke. Svi poznati mrežni profili mogu biti postavljeni na javni profil (Public), što utječe na dijeljenje datoteka i otkrivanje mreže. Ukratko — ovo je stvarno zadnje sredstvo.

Česta pitanja (FAQ)

Zašto se VPN prekida nakon svakog Windows ažuriranja?

Windows kumulativna ažuriranja često mijenjaju mrežne drivere, sigurnosne politike i kernel komponente. Te promjene mogu uzrokovati nekompatibilnost s VPN klijentima koji ovise o specifičnim verzijama drivera ili API-ja. Najbolja prevencija: testirajte ažuriranja na pilot grupi prije masovnog uvođenja i držite VPN klijente na najnovijoj verziji.

Koji je VPN protokol najbolji za Windows 11 u 2026.?

Za korporativna okruženja, IKEv2 je najsigurniji izbor jer je ugrađen u Windows, podržava automatsko ponovno uspostavljanje veze i dobro radi s Always On VPN. Za dodatnu sigurnost i performanse, WireGuard je odličan — ali zahtijeva omogućen Virtual Machine Platform na 24H2. Izbjegavajte PPTP. Ozbiljno, nemojte ga koristiti — zastario je i nesiguran.

Kako mogu dijagnosticirati VPN probleme na daljinu?

Koristite dijagnostičku PowerShell skriptu iz ovog vodiča i pošaljite je korisniku putem e-maila ili tiketing sustava s jasnim uputama za pokretanje. Rezultate mogu kopirati natrag u tiket. Za organizacije s Intune-om, možete pokrenuti skripte na daljinu putem Intune Remediations funkcionalnosti — to je daleko elegantnije rješenje.

Trebam li onemogućiti IPv6 za rješavanje VPN problema?

Onemogućavanje IPv6 na VPN adapteru može pomoći ako VPN klijent ne podržava IPv6 u potpunosti. Međutim, ne preporučujemo globalno onemogućavanje IPv6 na sustavu jer to može uzrokovati druge probleme. Umjesto toga, onemogućite IPv6 samo na specifičnom VPN adapteru putem svojstava mrežne veze.

Što učiniti kad Microsoft prizna bug, ali još nema ispravke?

Privremeno deinstalirajte problematično ažuriranje koristeći WUSA ili DISM naredbe, stavite ažuriranje na pauzu putem Windows Update postavki ili Group Policy-a, i pratite Microsoftovu stranicu poznatih problema (Known Issues) za dotično ažuriranje. Kad ispravka izađe, ponovo uvedite ažuriranje — ali opet prvo na pilot grupi. Da, uvijek na pilot grupi.

O Autoru Editorial Team

Our team of expert writers and editors.