VPN не работает в Windows 11: диагностика и решение проблем

VPN сломался после обновления Windows 11 24H2 или KB5077181? Пошаговая диагностика, расшифровка кодов ошибок 800, 809, 691, 720, 789, PowerShell-команды, настройка IKEv2/SSTP и Always On VPN — всё в одном руководстве.

VPN Windows 11: Fix после 24H2 в 2026

Введение: VPN и Windows 11 — что пошло не так в 2026 году

Знаете это чувство, когда VPN работает как часы месяцами, а потом — бац — после очередного обновления Windows всё ломается? Корпоративная почта недоступна, файловые шары не открываются, коллеги на удалёнке в панике звонят в техподдержку. Я сам прошёл через это не раз, и поверьте — ощущения так себе.

Так вот, в 2025–2026 годах Microsoft серьёзно перетряхнула сетевой стек Windows 11. Обновление до 24H2, новые политики безопасности, отказ от устаревших протоколов — всё это привело к тому, что жалобы на VPN выросли почти на 60% по данным Microsoft Q&A и профильных форумов.

А потом случилось февральское обновление 2026 года (KB5077181). Оно вызвало проблемы с DHCP, сетевыми интерфейсами и, как следствие, с VPN-подключениями. Microsoft уже подтвердила регрессию и работает над исправлением.

В общем, давайте разбираться. В этом руководстве — всё, что нужно для диагностики и починки VPN в Windows 11: коды ошибок, PowerShell-команды, пошаговые инструкции и реальные кейсы из практики.

Что сломалось с VPN после обновления Windows 11 24H2

Основные проблемы после 24H2

Обновление до 24H2 стало настоящей головной болью для IT-отделов. Вот что конкретно идёт не так:

  • Встроенный VPN-клиент не подключается — вместо соединения получаете «Непредвиденную ошибку» или бесконечное зависание
  • Учётные данные исчезают — Windows «забывает» логин и пароль после каждой перезагрузки (раздражает невероятно)
  • Дополнительные свойства VPN не открываются — кнопка «Дополнительные параметры» просто выбрасывает ошибку
  • L2TP/IPsec-подключения обрываются — Microsoft сама подтвердила регрессию в корпоративных IPsec-туннелях
  • Сторонние VPN-клиенты теряют совместимость — драйверы виртуальных адаптеров конфликтуют с обновлённым стеком

KB5077181 (февраль 2026): ещё больше сетевых проблем

Февральское обновление KB5077181 (сборки 26200.7840 и 26100.7840) подлило масла в огонь. Помимо известных багов с загрузочными циклами и Bluetooth, пользователи столкнулись с:

  • Ошибками DHCP — Wi-Fi показывает «Подключено», но интернета нет. DHCP просто не выдаёт нормальный IP
  • Сбоями SENS — System Event Notification Service не может обработать вход, ломая всю сетевую инициализацию
  • Регрессией в сетевом стеке — затронуты определённые драйверы NIC, что тянет за собой проблемы с VPN-адаптерами

Как проверить, стоит ли у вас проблемное обновление:

# PowerShell: проверка установленных обновлений
Get-HotFix | Where-Object { $_.HotFixID -eq "KB5077181" }

# Или через CMD
wmic qfe list brief | findstr "KB5077181"

Удаление обновления (если проблема подтвердилась):

# CMD (от имени администратора)
wusa /uninstall /kb:5077181 /quiet /norestart

# Или через интерфейс:
# Параметры → Центр обновления Windows → Журнал обновлений → Удалить обновления

Важно: удаление обновлений безопасности — это временная мера, создающая уязвимости. Приостановите автоматические обновления через Параметры → Центр обновления Windows → Приостановить обновления, пока Microsoft не выпустит патч.

Коды ошибок VPN: что они означают и как их исправить

Когда VPN отказывается подключаться, Windows обычно показывает код ошибки. Честно говоря, знание этих кодов экономит часы на диагностику. Разберём самые частые.

Ошибка 800: не удаётся связаться с сервером

Самая распространённая ошибка VPN. Означает, что клиент просто не может достучаться до сервера.

Типичные причины:

  • Неверный адрес или имя VPN-сервера
  • Брандмауэр блокирует VPN-трафик
  • Сеть нестабильна или отсутствует
  • Некорректные параметры IPsec для L2TP

Диагностика:

# Проверяем доступность VPN-сервера
ping vpn.company.com

# Проверяем DNS
nslookup vpn.company.com

# Проверяем порты (PowerShell)
Test-NetConnection -ComputerName vpn.company.com -Port 443
Test-NetConnection -ComputerName vpn.company.com -Port 500

Ошибка 809: сервер не отвечает

Появляется, когда VPN-трафик блокируется где-то по пути — на роутере, файрволе или NAT-устройстве.

Порты, которые должны быть открыты:

  • PPTP — TCP 1723 + протокол GRE (Protocol 47)
  • L2TP/IPsec — UDP 500, 4500 и 1701
  • IKEv2 — UDP 500 и 4500
  • SSTP — TCP 443

Если открыть нужные порты никак не получается — переходите на SSTP. Он работает через 443-й порт, который не блокируется практически нигде.

Ошибка 691: проблема с аутентификацией

Подключение отклонено из-за неверных учётных данных или несовместимого протокола аутентификации.

Что стоит проверить:

  • Логин и пароль (да, проверьте Caps Lock и раскладку — это банально, но помогает в половине случаев)
  • Для PPTP может использоваться отдельный VPN-пароль
  • На сервере разрешён нужный протокол аутентификации (MS-CHAPv2, EAP и т. д.)
  • Учётная запись не заблокирована в Active Directory

Ошибка 720: проблема с мини-портами PPP

Обычно связана с повреждёнными мини-портами WAN. Звучит страшно, но лечится довольно просто.

Решение:

# Шаг 1: Откройте Диспетчер устройств
devmgmt.msc

# Шаг 2: В разделе «Сетевые адаптеры»
# удалите все адаптеры WAN Miniport (IP, IPv6, PPTP, L2TP, IKEv2, SSTP)

# Шаг 3: «Действие» → «Обновить конфигурацию оборудования»
# Windows пересоздаст мини-порты автоматически

# Альтернатива — полный сброс сети:
# Параметры → Сеть и интернет → Дополнительные параметры сети → Сброс сети

Ошибка 789: L2TP не проходит через NAT

Классическая проблема — Windows 11 сидит за NAT, и L2TP-трафик просто не может пробиться.

Решение — правка реестра:

# PowerShell (от имени администратора)
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\PolicyAgent" `
  -Name "AssumeUDPEncapsulationContextOnSendRule" -Value 2 -Type DWord

# Обязательная перезагрузка после изменения
Restart-Computer

Значение 2 разрешает L2TP-соединение, когда и сервер, и клиент находятся за NAT. Без этого параметра — никак.

Пошаговая диагностика VPN: идём от простого к сложному

Шаг 1: Проверяем, есть ли вообще интернет

Звучит очевидно, но начните с этого. Не поверите, сколько раз проблема оказывалась в том, что интернет просто не работал.

# Проверка IP-конфигурации
ipconfig /all

# Пингуем внешний сервер
ping 8.8.8.8

# Проверяем DNS
nslookup google.com

# Если DNS не работает — сбрасываем кэш
ipconfig /flushdns

Нет интернета — нет VPN. Сначала чините базовое подключение (исключение — локальные VPN внутри корпоративной сети).

Шаг 2: Проверяем службы Windows

VPN зависит от нескольких системных служб. Если хоть одна из них не запущена, подключение не состоится:

# PowerShell: проверка ключевых VPN-служб
$services = @(
    "RasMan",      # Диспетчер подключений удалённого доступа
    "SstpSvc",     # Служба SSTP
    "IKEEXT",      # Модули ключей IPsec
    "PolicyAgent",  # Агент политики IPsec
    "RasAuto"      # Автоматические подключения удалённого доступа
)

foreach ($svc in $services) {
    $s = Get-Service -Name $svc -ErrorAction SilentlyContinue
    if ($s) {
        Write-Host "$($s.DisplayName): $($s.Status)" -ForegroundColor $(
            if ($s.Status -eq "Running") { "Green" } else { "Red" }
        )
    }
}

Что-то остановлено? Запускаем:

Start-Service -Name RasMan
Start-Service -Name IKEEXT
Start-Service -Name PolicyAgent

Шаг 3: Разбираемся с брандмауэром

Брандмауэр — пожалуй, самая частая причина проблем с VPN после обновлений. Проверяем правила:

# Правила для VPN-протоколов
Get-NetFirewallRule | Where-Object {
    $_.DisplayName -match "VPN|L2TP|IKE|SSTP|PPTP|GRE"
} | Select-Object DisplayName, Enabled, Direction, Action | Format-Table -AutoSize

# Проверка портов
Get-NetFirewallPortFilter | Where-Object {
    $_.LocalPort -in @(500, 1701, 1723, 4500)
} | Get-NetFirewallRule | Select-Object DisplayName, Enabled, Action

Быстрый тест: временно выключите брандмауэр и попробуйте подключиться. Заработало? Значит, дело в правилах файрвола.

# Временное отключение (только для теста!)
Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled False

# НЕ ЗАБУДЬТЕ включить обратно!
Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled True

Шаг 4: Ищем конфликты сетевых адаптеров

Виртуальные адаптеры от разных VPN-клиентов, Docker, виртуальных машин — они любят конфликтовать друг с другом. Особенно после обновлений.

# Все сетевые адаптеры
Get-NetAdapter | Select-Object Name, InterfaceDescription, Status, LinkSpeed | Format-Table -AutoSize

# VPN-подключения
Get-VpnConnection
Get-VpnConnection -AllUserConnection

Отключите неиспользуемые виртуальные адаптеры через Диспетчер устройств. Оставьте только то, что реально нужно.

Шаг 5: Полный сброс сетевого стека

Если предыдущие шаги не дали результата — пора действовать радикальнее:

# CMD (от имени администратора)
netsh winsock reset
netsh int ip reset
ipconfig /release
ipconfig /flushdns
ipconfig /renew

# Перезагрузка обязательна
shutdown /r /t 0

Шаг 6: Смотрим журналы событий

Когда ничего не помогает, журналы — последняя надежда. Там обычно написано, что именно пошло не так:

# События RasClient за последние 24 часа
Get-WinEvent -LogName "Application" -MaxEvents 50 | Where-Object {
    $_.ProviderName -match "Ras" -and
    $_.TimeCreated -gt (Get-Date).AddHours(-24)
} | Format-List TimeCreated, Id, Message

# Детальный лог VPN
Get-WinEvent -LogName "Microsoft-Windows-RasClient/Operational" -MaxEvents 20 |
    Format-List TimeCreated, Id, LevelDisplayName, Message

Ищите события с ID 20227 (ошибка подключения), 20226 (отключение) и 20225 (успешное подключение). В тексте сообщения будет конкретный код ошибки и причина.

VPN через PowerShell: для тех, кто хочет полный контроль

Создание VPN-подключений

Графический интерфейс Windows 11 довольно ограничен в плане настроек VPN. PowerShell же даёт полный контроль над каждым параметром.

IKEv2 — рекомендуемый корпоративный протокол:

Add-VpnConnection -Name "Корпоративный VPN" `
  -ServerAddress "vpn.company.com" `
  -TunnelType Ikev2 `
  -EncryptionLevel Required `
  -AuthenticationMethod MachineCertificate `
  -DnsSuffix "company.local" `
  -SplitTunneling $true `
  -RememberCredential $true `
  -PassThru

L2TP/IPsec с общим ключом:

Add-VpnConnection -Name "VPN L2TP" `
  -ServerAddress "vpn.company.com" `
  -TunnelType L2tp `
  -L2tpPsk "ВашОбщийКлюч" `
  -EncryptionLevel Required `
  -AuthenticationMethod Chap, MSChapv2 `
  -RememberCredential $true `
  -PassThru

SSTP — VPN через HTTPS (обходит большинство файрволов):

Add-VpnConnection -Name "VPN SSTP" `
  -ServerAddress "vpn.company.com" `
  -TunnelType Sstp `
  -EncryptionLevel Required `
  -AuthenticationMethod MSChapv2 `
  -RememberCredential $true `
  -PassThru

Усиление шифрования для IKEv2

По умолчанию Windows использует не самые сильные параметры шифрования для IKEv2. Для корпоративной среды стоит их подтянуть:

Set-VpnConnectionIPsecConfiguration -ConnectionName "Корпоративный VPN" `
  -AuthenticationTransformConstants SHA256128 `
  -CipherTransformConstants AES256 `
  -DHGroup Group14 `
  -EncryptionMethod AES256 `
  -IntegrityCheckMethod SHA256 `
  -PfsGroup PFS2048 `
  -PassThru -Force

Проверка текущих настроек:

Get-VpnConnection -Name "Корпоративный VPN" |
    Select-Object -ExpandProperty IPsecCustomPolicy

Массовое развёртывание через GPO

Для раскатки VPN на десятки (или сотни) рабочих станций — вот готовый скрипт для GPO:

# deploy-vpn.ps1 — развёртывание VPN через групповые политики
$VpnName = "Корпоративный VPN"
$ServerAddress = "vpn.company.com"

# Проверяем, есть ли уже такое подключение
$existing = Get-VpnConnection -Name $VpnName -AllUserConnection -ErrorAction SilentlyContinue

if ($existing) {
    Write-Host "VPN уже существует. Удаляем для пересоздания..."
    Remove-VpnConnection -Name $VpnName -AllUserConnection -Force
}

# Создаём подключение для всех пользователей
Add-VpnConnection -Name $VpnName `
  -ServerAddress $ServerAddress `
  -TunnelType Ikev2 `
  -EncryptionLevel Required `
  -AuthenticationMethod MachineCertificate `
  -DnsSuffix "company.local" `
  -SplitTunneling $true `
  -AllUserConnection `
  -PassThru

# Усиливаем шифрование
Set-VpnConnectionIPsecConfiguration -ConnectionName $VpnName `
  -AuthenticationTransformConstants SHA256128 `
  -CipherTransformConstants AES256 `
  -DHGroup Group14 `
  -EncryptionMethod AES256 `
  -IntegrityCheckMethod SHA256 `
  -PfsGroup PFS2048 `
  -AllUserConnection `
  -Force

Write-Host "VPN $VpnName успешно создан." -ForegroundColor Green

IPv6 и VPN: скрытая причина проблем

Вот что мало кто проверяет в первую очередь — IPv6. Многие VPN-серверы до сих пор не поддерживают его, а Windows 11 по умолчанию отдаёт IPv6 приоритет. Результат? Трафик утекает мимо VPN-туннеля, или подключение вообще не устанавливается.

Отключение IPv6 на конкретном адаптере

# Смотрим текущий статус IPv6
Get-NetAdapterBinding -ComponentId ms_tcpip6 | Format-Table Name, Enabled

# Отключаем IPv6 на конкретном адаптере
Disable-NetAdapterBinding -Name "Wi-Fi" -ComponentId ms_tcpip6

# Или на всех сразу
Get-NetAdapter | Disable-NetAdapterBinding -ComponentId ms_tcpip6

Глобальное отключение через реестр

# Полное отключение IPv6
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters" `
  -Name "DisabledComponents" -Value 0xFF -Type DWord

# Перезагрузка обязательна
Restart-Computer

Нюанс: Microsoft не рекомендует глобально отключать IPv6, потому что некоторые компоненты Windows от него зависят (Teredo, ISATAP и прочие). Лучше отключайте только на конкретных адаптерах — так безопаснее.

Always On VPN: автоматическое подключение

Что это такое

Always On VPN (AOVPN) — корпоративное решение Microsoft, которое автоматически поднимает VPN при входе в систему. По сути, это замена устаревшего DirectAccess и сейчас рекомендуемый способ организации удалёнки в Windows 11.

Проблема с WMI-to-CSP Bridge

На Windows 11 есть известная проблема при развёртывании AOVPN через PowerShell. Мост WMI-to-CSP (класс MDM_VPNv2_01 в пространстве имён root\cimv2\mdm\dmmap) не всегда корректно подхватывает профиль — конфигурация загружается, но остаётся неполной.

Обходное решение:

# Удаляем старый профиль
Remove-VpnConnection -Name "Always On VPN" -AllUserConnection -Force -ErrorAction SilentlyContinue

# Ждём
Start-Sleep -Seconds 5

# Загружаем XML-профиль из файла (не встраивайте его в скрипт!)
$ProfileXML = Get-Content -Path "C:\VPN\aovpn-profile.xml" -Raw
$ProfileXML | Out-File -FilePath "C:\VPN\aovpn-profile-applied.xml" -Encoding utf8

Мониторинг AOVPN на сервере

# Состояние VPN-сервера
Get-RemoteAccessHealth | Where-Object HealthState -NotMatch Disabled |
    Format-Table Component, HealthState, TimeStamp -AutoSize

# Активные подключения
Get-RemoteAccessConnectionStatistics | Format-Table ClientIPAddress,
    UserName, ConnectionDuration, ConnectionType -AutoSize

# Сводка
Get-RemoteAccessConnectionStatisticsSummary

Сетевые драйверы: обновление и переустановка

После обновлений Windows драйверы сетевых адаптеров нередко оказываются перезаписаны или повреждены. Это одна из самых неочевидных, но частых причин поломки VPN.

Проверка и обновление драйверов

# Информация о драйверах сетевых адаптеров
Get-NetAdapter | Select-Object Name, InterfaceDescription,
    DriverVersion, DriverDate | Format-Table -AutoSize

# Обновление через Диспетчер устройств:
# Win+X → Диспетчер устройств → Сетевые адаптеры
# → правый клик → Обновить драйвер → Автоматический поиск

Переустановка адаптера

Если обновление не помогло — переустанавливаем:

# Находим проблемный адаптер
Get-PnpDevice -Class Net | Select-Object FriendlyName, Status, InstanceId |
    Format-Table -AutoSize

# Перезапускаем адаптер
Disable-NetAdapter -Name "Wi-Fi" -Confirm:$false
Start-Sleep -Seconds 3
Enable-NetAdapter -Name "Wi-Fi" -Confirm:$false

Не помогло? Скачайте драйвер напрямую с сайта производителя (Intel, Realtek, Qualcomm). Драйверы из Windows Update бывают устаревшими или неоптимальными.

VPN на ARM-устройствах с Windows 11

Если у вас Surface Pro X, Lenovo ThinkPad X13s, Samsung Galaxy Book или другое ARM-устройство — есть дополнительные нюансы:

  • Не все VPN-клиенты имеют нативные ARM64-сборки
  • Некоторые драйверы TAP/TUN-адаптеров для ARM недоступны
  • Встроенный VPN работает, а вот со сторонними клиентами бывают проблемы

Что делать:

  • Используйте встроенный VPN-клиент Windows (IKEv2 или SSTP) — он полностью работает на ARM64
  • OpenVPN — берите версию 2.6+ с нативной ARM-поддержкой
  • WireGuard — полная поддержка ARM64, работает отлично
  • Избегайте старых клиентов под x86/x64 — они работают через эмуляцию и могут быть нестабильны

Чек-лист для техподдержки: быстрая диагностика

Пользователь звонит с проблемой VPN? Пройдитесь по этому списку. По моему опыту, в 9 из 10 случаев причина находится в первых пяти пунктах:

  1. Есть ли интернет?ping 8.8.8.8
  2. Работает ли DNS?nslookup vpn.company.com
  3. Доступен ли VPN-сервер?Test-NetConnection vpn.company.com -Port 443
  4. Запущены ли службы? — проверьте RasMan, IKEEXT, PolicyAgent
  5. Верные ли учётные данные? — попросите ввести заново
  6. Было ли обновление Windows? — загляните в журнал обновлений
  7. Не мешает ли брандмауэр? — временно отключите для проверки
  8. Конфликт адаптеров?Get-NetAdapter
  9. IPv6? — попробуйте отключить на VPN-адаптере
  10. Сброс стека?netsh winsock reset + перезагрузка

Частые вопросы

Почему VPN сломался после обновления Windows 11?

Обновления 24H2 и KB5077181 меняют сетевой стек, перезаписывают драйверы и могут менять политики безопасности. Решение: обновите VPN-клиент, проверьте драйверы и при необходимости сделайте netsh winsock reset.

Какой VPN-протокол выбрать в 2026 году?

Для корпоративного использования — IKEv2. Он быстрый, безопасный и умеет автоматически переподключаться при смене сети (удобно для ноутбуков). Если IKEv2 блокируется — берите SSTP, он ходит через 443-й порт и проходит почти любой файрвол. PPTP и L2TP считаются устаревшими, Microsoft постепенно сворачивает их поддержку.

Как создать VPN через командную строку?

Используйте Add-VpnConnection в PowerShell: укажите -Name (имя), -ServerAddress (адрес сервера), -TunnelType (протокол), -AuthenticationMethod (аутентификация). Посмотреть существующие — Get-VpnConnection, удалить — Remove-VpnConnection.

Безопасно ли отключать IPv6?

На конкретном адаптере — да, вполне безопасно и часто решает проблему. Глобальное отключение через реестр Microsoft не рекомендует — от IPv6 зависят некоторые системные компоненты. Оптимально: отключайте только на адаптерах, задействованных для VPN.

VPN не работает на ARM-устройстве — что делать?

Проверьте, что ваш VPN-клиент поддерживает ARM64. Встроенный клиент Windows (IKEv2, SSTP) работает без проблем. Из сторонних — WireGuard и OpenVPN 2.6+ имеют нативные ARM-сборки. Старые клиенты под x86 работают через эмуляцию и нестабильны.

Об авторе Daniel Okonkwo

Daniel has 13 years in IT operations split across two very different worlds: six years as a Tier 3 Windows server admin at a UK NHS trust, then seven years at CDW handling M365 security posture work for mid-market clients. He carries SC-200 (Security Operations Analyst), the CompTIA CySA+, and a slightly out-of-date ITIL v3 Expert that he refuses to renew on principle. His writing focuses on the helpdesk-adjacent security work that nobody owns cleanly: Defender for Endpoint onboarding, the difference between Defender for Office 365 Plan 1 and Plan 2 when finance asks why the bill jumped, and tuning Conditional Access without breaking the field sales team's iPads. He spent most of 2024 doing forensic cleanup on three separate Business Email Compromise cases - two of which traced back to a missing MFA gap on a service account. He is based in Birmingham and runs a quiet Mastodon instance for old-school sysadmins.