Устранение неполадок 15 мин чтения

VPN не работает в Windows 11: диагностика и решение проблем

VPN сломался после обновления Windows 11 24H2 или KB5077181? Пошаговая диагностика, расшифровка кодов ошибок 800, 809, 691, 720, 789, PowerShell-команды, настройка IKEv2/SSTP и Always On VPN — всё в одном руководстве.

Editorial Team

Введение: VPN и Windows 11 — что пошло не так в 2026 году

Знаете это чувство, когда VPN работает как часы месяцами, а потом — бац — после очередного обновления Windows всё ломается? Корпоративная почта недоступна, файловые шары не открываются, коллеги на удалёнке в панике звонят в техподдержку. Я сам прошёл через это не раз, и поверьте — ощущения так себе.

Так вот, в 2025–2026 годах Microsoft серьёзно перетряхнула сетевой стек Windows 11. Обновление до 24H2, новые политики безопасности, отказ от устаревших протоколов — всё это привело к тому, что жалобы на VPN выросли почти на 60% по данным Microsoft Q&A и профильных форумов.

А потом случилось февральское обновление 2026 года (KB5077181). Оно вызвало проблемы с DHCP, сетевыми интерфейсами и, как следствие, с VPN-подключениями. Microsoft уже подтвердила регрессию и работает над исправлением.

В общем, давайте разбираться. В этом руководстве — всё, что нужно для диагностики и починки VPN в Windows 11: коды ошибок, PowerShell-команды, пошаговые инструкции и реальные кейсы из практики.

Что сломалось с VPN после обновления Windows 11 24H2

Основные проблемы после 24H2

Обновление до 24H2 стало настоящей головной болью для IT-отделов. Вот что конкретно идёт не так:

  • Встроенный VPN-клиент не подключается — вместо соединения получаете «Непредвиденную ошибку» или бесконечное зависание
  • Учётные данные исчезают — Windows «забывает» логин и пароль после каждой перезагрузки (раздражает невероятно)
  • Дополнительные свойства VPN не открываются — кнопка «Дополнительные параметры» просто выбрасывает ошибку
  • L2TP/IPsec-подключения обрываются — Microsoft сама подтвердила регрессию в корпоративных IPsec-туннелях
  • Сторонние VPN-клиенты теряют совместимость — драйверы виртуальных адаптеров конфликтуют с обновлённым стеком

KB5077181 (февраль 2026): ещё больше сетевых проблем

Февральское обновление KB5077181 (сборки 26200.7840 и 26100.7840) подлило масла в огонь. Помимо известных багов с загрузочными циклами и Bluetooth, пользователи столкнулись с:

  • Ошибками DHCP — Wi-Fi показывает «Подключено», но интернета нет. DHCP просто не выдаёт нормальный IP
  • Сбоями SENS — System Event Notification Service не может обработать вход, ломая всю сетевую инициализацию
  • Регрессией в сетевом стеке — затронуты определённые драйверы NIC, что тянет за собой проблемы с VPN-адаптерами

Как проверить, стоит ли у вас проблемное обновление:

# PowerShell: проверка установленных обновлений
Get-HotFix | Where-Object { $_.HotFixID -eq "KB5077181" }

# Или через CMD
wmic qfe list brief | findstr "KB5077181"

Удаление обновления (если проблема подтвердилась):

# CMD (от имени администратора)
wusa /uninstall /kb:5077181 /quiet /norestart

# Или через интерфейс:
# Параметры → Центр обновления Windows → Журнал обновлений → Удалить обновления

Важно: удаление обновлений безопасности — это временная мера, создающая уязвимости. Приостановите автоматические обновления через Параметры → Центр обновления Windows → Приостановить обновления, пока Microsoft не выпустит патч.

Коды ошибок VPN: что они означают и как их исправить

Когда VPN отказывается подключаться, Windows обычно показывает код ошибки. Честно говоря, знание этих кодов экономит часы на диагностику. Разберём самые частые.

Ошибка 800: не удаётся связаться с сервером

Самая распространённая ошибка VPN. Означает, что клиент просто не может достучаться до сервера.

Типичные причины:

  • Неверный адрес или имя VPN-сервера
  • Брандмауэр блокирует VPN-трафик
  • Сеть нестабильна или отсутствует
  • Некорректные параметры IPsec для L2TP

Диагностика:

# Проверяем доступность VPN-сервера
ping vpn.company.com

# Проверяем DNS
nslookup vpn.company.com

# Проверяем порты (PowerShell)
Test-NetConnection -ComputerName vpn.company.com -Port 443
Test-NetConnection -ComputerName vpn.company.com -Port 500

Ошибка 809: сервер не отвечает

Появляется, когда VPN-трафик блокируется где-то по пути — на роутере, файрволе или NAT-устройстве.

Порты, которые должны быть открыты:

  • PPTP — TCP 1723 + протокол GRE (Protocol 47)
  • L2TP/IPsec — UDP 500, 4500 и 1701
  • IKEv2 — UDP 500 и 4500
  • SSTP — TCP 443

Если открыть нужные порты никак не получается — переходите на SSTP. Он работает через 443-й порт, который не блокируется практически нигде.

Ошибка 691: проблема с аутентификацией

Подключение отклонено из-за неверных учётных данных или несовместимого протокола аутентификации.

Что стоит проверить:

  • Логин и пароль (да, проверьте Caps Lock и раскладку — это банально, но помогает в половине случаев)
  • Для PPTP может использоваться отдельный VPN-пароль
  • На сервере разрешён нужный протокол аутентификации (MS-CHAPv2, EAP и т. д.)
  • Учётная запись не заблокирована в Active Directory

Ошибка 720: проблема с мини-портами PPP

Обычно связана с повреждёнными мини-портами WAN. Звучит страшно, но лечится довольно просто.

Решение:

# Шаг 1: Откройте Диспетчер устройств
devmgmt.msc

# Шаг 2: В разделе «Сетевые адаптеры»
# удалите все адаптеры WAN Miniport (IP, IPv6, PPTP, L2TP, IKEv2, SSTP)

# Шаг 3: «Действие» → «Обновить конфигурацию оборудования»
# Windows пересоздаст мини-порты автоматически

# Альтернатива — полный сброс сети:
# Параметры → Сеть и интернет → Дополнительные параметры сети → Сброс сети

Ошибка 789: L2TP не проходит через NAT

Классическая проблема — Windows 11 сидит за NAT, и L2TP-трафик просто не может пробиться.

Решение — правка реестра:

# PowerShell (от имени администратора)
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\PolicyAgent" `
  -Name "AssumeUDPEncapsulationContextOnSendRule" -Value 2 -Type DWord

# Обязательная перезагрузка после изменения
Restart-Computer

Значение 2 разрешает L2TP-соединение, когда и сервер, и клиент находятся за NAT. Без этого параметра — никак.

Пошаговая диагностика VPN: идём от простого к сложному

Шаг 1: Проверяем, есть ли вообще интернет

Звучит очевидно, но начните с этого. Не поверите, сколько раз проблема оказывалась в том, что интернет просто не работал.

# Проверка IP-конфигурации
ipconfig /all

# Пингуем внешний сервер
ping 8.8.8.8

# Проверяем DNS
nslookup google.com

# Если DNS не работает — сбрасываем кэш
ipconfig /flushdns

Нет интернета — нет VPN. Сначала чините базовое подключение (исключение — локальные VPN внутри корпоративной сети).

Шаг 2: Проверяем службы Windows

VPN зависит от нескольких системных служб. Если хоть одна из них не запущена, подключение не состоится:

# PowerShell: проверка ключевых VPN-служб
$services = @(
    "RasMan",      # Диспетчер подключений удалённого доступа
    "SstpSvc",     # Служба SSTP
    "IKEEXT",      # Модули ключей IPsec
    "PolicyAgent",  # Агент политики IPsec
    "RasAuto"      # Автоматические подключения удалённого доступа
)

foreach ($svc in $services) {
    $s = Get-Service -Name $svc -ErrorAction SilentlyContinue
    if ($s) {
        Write-Host "$($s.DisplayName): $($s.Status)" -ForegroundColor $(
            if ($s.Status -eq "Running") { "Green" } else { "Red" }
        )
    }
}

Что-то остановлено? Запускаем:

Start-Service -Name RasMan
Start-Service -Name IKEEXT
Start-Service -Name PolicyAgent

Шаг 3: Разбираемся с брандмауэром

Брандмауэр — пожалуй, самая частая причина проблем с VPN после обновлений. Проверяем правила:

# Правила для VPN-протоколов
Get-NetFirewallRule | Where-Object {
    $_.DisplayName -match "VPN|L2TP|IKE|SSTP|PPTP|GRE"
} | Select-Object DisplayName, Enabled, Direction, Action | Format-Table -AutoSize

# Проверка портов
Get-NetFirewallPortFilter | Where-Object {
    $_.LocalPort -in @(500, 1701, 1723, 4500)
} | Get-NetFirewallRule | Select-Object DisplayName, Enabled, Action

Быстрый тест: временно выключите брандмауэр и попробуйте подключиться. Заработало? Значит, дело в правилах файрвола.

# Временное отключение (только для теста!)
Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled False

# НЕ ЗАБУДЬТЕ включить обратно!
Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled True

Шаг 4: Ищем конфликты сетевых адаптеров

Виртуальные адаптеры от разных VPN-клиентов, Docker, виртуальных машин — они любят конфликтовать друг с другом. Особенно после обновлений.

# Все сетевые адаптеры
Get-NetAdapter | Select-Object Name, InterfaceDescription, Status, LinkSpeed | Format-Table -AutoSize

# VPN-подключения
Get-VpnConnection
Get-VpnConnection -AllUserConnection

Отключите неиспользуемые виртуальные адаптеры через Диспетчер устройств. Оставьте только то, что реально нужно.

Шаг 5: Полный сброс сетевого стека

Если предыдущие шаги не дали результата — пора действовать радикальнее:

# CMD (от имени администратора)
netsh winsock reset
netsh int ip reset
ipconfig /release
ipconfig /flushdns
ipconfig /renew

# Перезагрузка обязательна
shutdown /r /t 0

Шаг 6: Смотрим журналы событий

Когда ничего не помогает, журналы — последняя надежда. Там обычно написано, что именно пошло не так:

# События RasClient за последние 24 часа
Get-WinEvent -LogName "Application" -MaxEvents 50 | Where-Object {
    $_.ProviderName -match "Ras" -and
    $_.TimeCreated -gt (Get-Date).AddHours(-24)
} | Format-List TimeCreated, Id, Message

# Детальный лог VPN
Get-WinEvent -LogName "Microsoft-Windows-RasClient/Operational" -MaxEvents 20 |
    Format-List TimeCreated, Id, LevelDisplayName, Message

Ищите события с ID 20227 (ошибка подключения), 20226 (отключение) и 20225 (успешное подключение). В тексте сообщения будет конкретный код ошибки и причина.

VPN через PowerShell: для тех, кто хочет полный контроль

Создание VPN-подключений

Графический интерфейс Windows 11 довольно ограничен в плане настроек VPN. PowerShell же даёт полный контроль над каждым параметром.

IKEv2 — рекомендуемый корпоративный протокол:

Add-VpnConnection -Name "Корпоративный VPN" `
  -ServerAddress "vpn.company.com" `
  -TunnelType Ikev2 `
  -EncryptionLevel Required `
  -AuthenticationMethod MachineCertificate `
  -DnsSuffix "company.local" `
  -SplitTunneling $true `
  -RememberCredential $true `
  -PassThru

L2TP/IPsec с общим ключом:

Add-VpnConnection -Name "VPN L2TP" `
  -ServerAddress "vpn.company.com" `
  -TunnelType L2tp `
  -L2tpPsk "ВашОбщийКлюч" `
  -EncryptionLevel Required `
  -AuthenticationMethod Chap, MSChapv2 `
  -RememberCredential $true `
  -PassThru

SSTP — VPN через HTTPS (обходит большинство файрволов):

Add-VpnConnection -Name "VPN SSTP" `
  -ServerAddress "vpn.company.com" `
  -TunnelType Sstp `
  -EncryptionLevel Required `
  -AuthenticationMethod MSChapv2 `
  -RememberCredential $true `
  -PassThru

Усиление шифрования для IKEv2

По умолчанию Windows использует не самые сильные параметры шифрования для IKEv2. Для корпоративной среды стоит их подтянуть:

Set-VpnConnectionIPsecConfiguration -ConnectionName "Корпоративный VPN" `
  -AuthenticationTransformConstants SHA256128 `
  -CipherTransformConstants AES256 `
  -DHGroup Group14 `
  -EncryptionMethod AES256 `
  -IntegrityCheckMethod SHA256 `
  -PfsGroup PFS2048 `
  -PassThru -Force

Проверка текущих настроек:

Get-VpnConnection -Name "Корпоративный VPN" |
    Select-Object -ExpandProperty IPsecCustomPolicy

Массовое развёртывание через GPO

Для раскатки VPN на десятки (или сотни) рабочих станций — вот готовый скрипт для GPO:

# deploy-vpn.ps1 — развёртывание VPN через групповые политики
$VpnName = "Корпоративный VPN"
$ServerAddress = "vpn.company.com"

# Проверяем, есть ли уже такое подключение
$existing = Get-VpnConnection -Name $VpnName -AllUserConnection -ErrorAction SilentlyContinue

if ($existing) {
    Write-Host "VPN уже существует. Удаляем для пересоздания..."
    Remove-VpnConnection -Name $VpnName -AllUserConnection -Force
}

# Создаём подключение для всех пользователей
Add-VpnConnection -Name $VpnName `
  -ServerAddress $ServerAddress `
  -TunnelType Ikev2 `
  -EncryptionLevel Required `
  -AuthenticationMethod MachineCertificate `
  -DnsSuffix "company.local" `
  -SplitTunneling $true `
  -AllUserConnection `
  -PassThru

# Усиливаем шифрование
Set-VpnConnectionIPsecConfiguration -ConnectionName $VpnName `
  -AuthenticationTransformConstants SHA256128 `
  -CipherTransformConstants AES256 `
  -DHGroup Group14 `
  -EncryptionMethod AES256 `
  -IntegrityCheckMethod SHA256 `
  -PfsGroup PFS2048 `
  -AllUserConnection `
  -Force

Write-Host "VPN $VpnName успешно создан." -ForegroundColor Green

IPv6 и VPN: скрытая причина проблем

Вот что мало кто проверяет в первую очередь — IPv6. Многие VPN-серверы до сих пор не поддерживают его, а Windows 11 по умолчанию отдаёт IPv6 приоритет. Результат? Трафик утекает мимо VPN-туннеля, или подключение вообще не устанавливается.

Отключение IPv6 на конкретном адаптере

# Смотрим текущий статус IPv6
Get-NetAdapterBinding -ComponentId ms_tcpip6 | Format-Table Name, Enabled

# Отключаем IPv6 на конкретном адаптере
Disable-NetAdapterBinding -Name "Wi-Fi" -ComponentId ms_tcpip6

# Или на всех сразу
Get-NetAdapter | Disable-NetAdapterBinding -ComponentId ms_tcpip6

Глобальное отключение через реестр

# Полное отключение IPv6
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters" `
  -Name "DisabledComponents" -Value 0xFF -Type DWord

# Перезагрузка обязательна
Restart-Computer

Нюанс: Microsoft не рекомендует глобально отключать IPv6, потому что некоторые компоненты Windows от него зависят (Teredo, ISATAP и прочие). Лучше отключайте только на конкретных адаптерах — так безопаснее.

Always On VPN: автоматическое подключение

Что это такое

Always On VPN (AOVPN) — корпоративное решение Microsoft, которое автоматически поднимает VPN при входе в систему. По сути, это замена устаревшего DirectAccess и сейчас рекомендуемый способ организации удалёнки в Windows 11.

Проблема с WMI-to-CSP Bridge

На Windows 11 есть известная проблема при развёртывании AOVPN через PowerShell. Мост WMI-to-CSP (класс MDM_VPNv2_01 в пространстве имён root\cimv2\mdm\dmmap) не всегда корректно подхватывает профиль — конфигурация загружается, но остаётся неполной.

Обходное решение:

# Удаляем старый профиль
Remove-VpnConnection -Name "Always On VPN" -AllUserConnection -Force -ErrorAction SilentlyContinue

# Ждём
Start-Sleep -Seconds 5

# Загружаем XML-профиль из файла (не встраивайте его в скрипт!)
$ProfileXML = Get-Content -Path "C:\VPN\aovpn-profile.xml" -Raw
$ProfileXML | Out-File -FilePath "C:\VPN\aovpn-profile-applied.xml" -Encoding utf8

Мониторинг AOVPN на сервере

# Состояние VPN-сервера
Get-RemoteAccessHealth | Where-Object HealthState -NotMatch Disabled |
    Format-Table Component, HealthState, TimeStamp -AutoSize

# Активные подключения
Get-RemoteAccessConnectionStatistics | Format-Table ClientIPAddress,
    UserName, ConnectionDuration, ConnectionType -AutoSize

# Сводка
Get-RemoteAccessConnectionStatisticsSummary

Сетевые драйверы: обновление и переустановка

После обновлений Windows драйверы сетевых адаптеров нередко оказываются перезаписаны или повреждены. Это одна из самых неочевидных, но частых причин поломки VPN.

Проверка и обновление драйверов

# Информация о драйверах сетевых адаптеров
Get-NetAdapter | Select-Object Name, InterfaceDescription,
    DriverVersion, DriverDate | Format-Table -AutoSize

# Обновление через Диспетчер устройств:
# Win+X → Диспетчер устройств → Сетевые адаптеры
# → правый клик → Обновить драйвер → Автоматический поиск

Переустановка адаптера

Если обновление не помогло — переустанавливаем:

# Находим проблемный адаптер
Get-PnpDevice -Class Net | Select-Object FriendlyName, Status, InstanceId |
    Format-Table -AutoSize

# Перезапускаем адаптер
Disable-NetAdapter -Name "Wi-Fi" -Confirm:$false
Start-Sleep -Seconds 3
Enable-NetAdapter -Name "Wi-Fi" -Confirm:$false

Не помогло? Скачайте драйвер напрямую с сайта производителя (Intel, Realtek, Qualcomm). Драйверы из Windows Update бывают устаревшими или неоптимальными.

VPN на ARM-устройствах с Windows 11

Если у вас Surface Pro X, Lenovo ThinkPad X13s, Samsung Galaxy Book или другое ARM-устройство — есть дополнительные нюансы:

  • Не все VPN-клиенты имеют нативные ARM64-сборки
  • Некоторые драйверы TAP/TUN-адаптеров для ARM недоступны
  • Встроенный VPN работает, а вот со сторонними клиентами бывают проблемы

Что делать:

  • Используйте встроенный VPN-клиент Windows (IKEv2 или SSTP) — он полностью работает на ARM64
  • OpenVPN — берите версию 2.6+ с нативной ARM-поддержкой
  • WireGuard — полная поддержка ARM64, работает отлично
  • Избегайте старых клиентов под x86/x64 — они работают через эмуляцию и могут быть нестабильны

Чек-лист для техподдержки: быстрая диагностика

Пользователь звонит с проблемой VPN? Пройдитесь по этому списку. По моему опыту, в 9 из 10 случаев причина находится в первых пяти пунктах:

  1. Есть ли интернет?ping 8.8.8.8
  2. Работает ли DNS?nslookup vpn.company.com
  3. Доступен ли VPN-сервер?Test-NetConnection vpn.company.com -Port 443
  4. Запущены ли службы? — проверьте RasMan, IKEEXT, PolicyAgent
  5. Верные ли учётные данные? — попросите ввести заново
  6. Было ли обновление Windows? — загляните в журнал обновлений
  7. Не мешает ли брандмауэр? — временно отключите для проверки
  8. Конфликт адаптеров?Get-NetAdapter
  9. IPv6? — попробуйте отключить на VPN-адаптере
  10. Сброс стека?netsh winsock reset + перезагрузка

Частые вопросы

Почему VPN сломался после обновления Windows 11?

Обновления 24H2 и KB5077181 меняют сетевой стек, перезаписывают драйверы и могут менять политики безопасности. Решение: обновите VPN-клиент, проверьте драйверы и при необходимости сделайте netsh winsock reset.

Какой VPN-протокол выбрать в 2026 году?

Для корпоративного использования — IKEv2. Он быстрый, безопасный и умеет автоматически переподключаться при смене сети (удобно для ноутбуков). Если IKEv2 блокируется — берите SSTP, он ходит через 443-й порт и проходит почти любой файрвол. PPTP и L2TP считаются устаревшими, Microsoft постепенно сворачивает их поддержку.

Как создать VPN через командную строку?

Используйте Add-VpnConnection в PowerShell: укажите -Name (имя), -ServerAddress (адрес сервера), -TunnelType (протокол), -AuthenticationMethod (аутентификация). Посмотреть существующие — Get-VpnConnection, удалить — Remove-VpnConnection.

Безопасно ли отключать IPv6?

На конкретном адаптере — да, вполне безопасно и часто решает проблему. Глобальное отключение через реестр Microsoft не рекомендует — от IPv6 зависят некоторые системные компоненты. Оптимально: отключайте только на адаптерах, задействованных для VPN.

VPN не работает на ARM-устройстве — что делать?

Проверьте, что ваш VPN-клиент поддерживает ARM64. Встроенный клиент Windows (IKEv2, SSTP) работает без проблем. Из сторонних — WireGuard и OpenVPN 2.6+ имеют нативные ARM-сборки. Старые клиенты под x86 работают через эмуляцию и нестабильны.

Об авторе Editorial Team

Our team of expert writers and editors.

Похожие статьи

Устранение неполадок

Принтер не печатает в Windows 11: полное руководство по устранению неполадок

Принтер не печатает в Windows 11? Разбираем баг KB5050092, переход на WPP, диагностику спулера, сетевые принтеры и RDP-печать. Пошаговые команды PowerShell и алгоритм действий для техподдержки.

Editorial Team 14 мин чтения
Устранение неполадок

Диагностика GPO в Windows Server и Windows 11: полное руководство по устранению неполадок

Пошаговое руководство по диагностике групповых политик (GPO) в Windows Server и Windows 11. Разбираем типичные проблемы, команды gpresult и gpupdate, ошибки SYSVOL, скрипты PowerShell и работу в гибридных средах с Intune.

Editorial Team 20 мин чтения