VPN och fjärråtkomst 14 min läsning

VPN-felsökning i Windows 11 — komplett guide för IT-helpdesk

Steg-för-steg guide för VPN-felsökning i Windows 11. Täcker felkoder, 24H2-specifika problem med WireGuard, PowerShell-diagnostik, Always On VPN och systematisk felsökningsmetodik för IT-helpdesk.

Editorial Team

Varför VPN-felsökning är en kärnkompetens för helpdesk

Låt oss vara ärliga — VPN-ärenden är vardagsmat på de flesta IT-helpdeskar numera. Med hybridarbete som den nya normen (och inte bara en pandemiåtgärd) kommer det in ärenden om VPN-problem dagligen. Användare som inte kan ansluta, slumpmässiga avbrott mitt i ett Teams-möte, kryptiska felkoder efter en Windows-uppdatering... listan är lång.

Och det handlar inte om småsaker. Branschdata från 2025–2026 visar att VPN-relaterade ärenden står för ungefär 15–25 procent av alla inkommande helpdesk-ärenden i organisationer med distansarbetare. Det är en rejäl del av din arbetsdag.

I Windows 11 24H2 har dessutom flera VPN-protokoll fått uppdaterat beteende, och Microsoft har börjat fasa ut äldre protokoll som PPTP och L2TP i Windows Server 2025. Så ja, det finns gott om anledningar att hålla sig skärpt på det här området.

Den här guiden ger dig en komplett verktygslåda — från grundläggande konfiguration och vanliga felkoder till avancerad PowerShell-diagnostik och de specifika 24H2-problemen som har orsakat huvudvärk för många helpdesk-team.

VPN-protokoll i Windows 11 — vad du behöver veta 2026

Innan du börjar felsöka behöver du förstå vilka VPN-protokoll som faktiskt finns tillgängliga i Windows 11. Det sparar tid att veta skillnaderna, och ibland löser man problemet bara genom att välja rätt protokoll från början.

IKEv2/IPsec — rekommenderat val

IKEv2 är det protokoll Microsoft själva trycker på mest just nu. Och det finns goda skäl till det — stark kryptering, snabb återanslutning vid nätverksbyten tack vare MOBIKE-stöd, och det fungerar smidigt med Windows 11:s inbyggda VPN-klient. IKEv2 använder UDP-port 500 och 4500, och passerar oftast brandväggar utan krångel.

SSTP — din räddare bakom restriktiva brandväggar

SSTP kapslar in PPP-trafik via TLS och använder TCP-port 443, alltså samma port som vanlig HTTPS-trafik. Det gör SSTP till ett riktigt bra val när nätverket blockerar andra VPN-protokoll. Port 443 är ju nästan aldrig blockerad (det skulle stänga ute all webbsurf). En sak att tänka på dock — VPN-serverns certifikat måste vara korrekt konfigurerat, annars blir det problem.

L2TP/IPsec — på väg ut

L2TP stöds fortfarande i Windows 11, men det börjar bli dags att planera bort det. Från och med Windows Server 2025 accepteras inte L2TP-anslutningar i nya RRAS-installationer som standard. Du kan aktivera det manuellt, men Microsoft rekommenderar att du migrerar till IKEv2 eller SSTP istället.

PPTP — dags att säga hejdå

PPTP är avaktiverat som standard i Windows Server 2025 på grund av kända säkerhetsbrister. Om din organisation fortfarande kör PPTP — det är verkligen dags att migrera. Igår helst.

WireGuard — snabbt men stökigt i 24H2

WireGuard är det moderna alternativet som vinner mark snabbt, och av goda skäl. Det är snabbt, enkelt och har en elegant design. Problemet? Det ingår inte i Windows 11:s inbyggda VPN-klient utan kräver en separat klient, och 24H2 har tyvärr introducerat specifika problem som vi går igenom längre ner.

Konfigurera VPN i Windows 11 — steg för steg

Via grafiskt gränssnitt

Den enklaste vägen in, perfekt för enstaka konfigurationer:

  1. Öppna Inställningar → Nätverk och internet → VPN
  2. Klicka på Lägg till VPN
  3. Fyll i följande:
    • VPN-leverantör: Windows (inbyggt)
    • Anslutningsnamn: Något beskrivande, exempelvis "Företagets VPN"
    • Servernamn eller adress: VPN-serverns FQDN eller IP-adress
    • VPN-typ: Välj protokoll (IKEv2, SSTP, L2TP/IPsec eller Automatisk)
    • Inloggningsinformation: Användarnamn och lösenord, certifikat, eller smartkort
  4. Klicka Spara

Anslut sedan via VPN-ikonen i aktivitetsfältet eller via Inställningar → Nätverk och internet → VPN.

Via PowerShell — för när GUI:t inte räcker

Det grafiska gränssnittet i Windows 11 har ganska begränsade konfigurationsmöjligheter, ärligt talat. Så fort du behöver split tunneling, specifika krypteringsalgoritmer eller ska sätta upp VPN på flera datorer är PowerShell vägen att gå.

Skapa en IKEv2-anslutning:

Add-VpnConnection -Name "Företag VPN IKEv2" `
    -ServerAddress "vpn.contoso.se" `
    -TunnelType IKEv2 `
    -AuthenticationMethod MSChapv2 `
    -EncryptionLevel Required `
    -RememberCredential `
    -PassThru

Skapa en SSTP-anslutning:

Add-VpnConnection -Name "Företag VPN SSTP" `
    -ServerAddress "vpn.contoso.se" `
    -TunnelType SSTP `
    -AuthenticationMethod MSChapv2 `
    -EncryptionLevel Required `
    -RememberCredential `
    -PassThru

Skapa en L2TP/IPsec-anslutning med delad nyckel:

Add-VpnConnection -Name "Företag VPN L2TP" `
    -ServerAddress "vpn.contoso.se" `
    -TunnelType L2TP `
    -L2tpPsk "DinDeladNyckelHär" `
    -AuthenticationMethod MSChapv2 `
    -EncryptionLevel Required `
    -Force `
    -RememberCredential `
    -PassThru

Aktivera split tunneling (så att inte all trafik tvingas via VPN — mer om varför du vill det längre ner):

Set-VpnConnection -Name "Företag VPN IKEv2" -SplitTunneling $true

Lägg till specifika nätverksrouter för split tunneling:

Add-VpnConnectionRoute -ConnectionName "Företag VPN IKEv2" `
    -DestinationPrefix "10.0.0.0/8"
Add-VpnConnectionRoute -ConnectionName "Företag VPN IKEv2" `
    -DestinationPrefix "172.16.0.0/12"

Konfigurera avancerade IPsec-parametrar för IKEv2:

Set-VpnConnectionIPsecConfiguration -ConnectionName "Företag VPN IKEv2" `
    -AuthenticationTransformConstants SHA256128 `
    -CipherTransformConstants AES256 `
    -DHGroup Group14 `
    -EncryptionMethod AES256 `
    -IntegrityCheckMethod SHA256 `
    -PfsGroup PFS2048 `
    -PassThru

Vanliga VPN-felkoder i Windows 11 — och hur du löser dem

När en VPN-anslutning misslyckas i Windows 11 får du (om du har tur) en numerisk felkod. Att känna till de vanligaste sparar enormt med felsökningstid. Jag har sammanställt de du kommer stöta på oftast.

Felkod 800 — VPN-servern går inte att nå

Det här är den klassiska "ingenting fungerar"-felkoden. VPN-tunneln kunde helt enkelt inte etableras. Vanliga orsaker:

  • Felaktigt servernamn eller IP-adress i VPN-konfigurationen
  • VPN-servern är nere eller överbelastad
  • Brandväggen blockerar VPN-trafik (kontrollera port 500/4500 för IKEv2, port 443 för SSTP)
  • Ingen internetanslutning (ja, det händer oftare än man tror)

Felsökning:

# Testa om VPN-servern svarar på port 443 (SSTP)
Test-NetConnection -ComputerName vpn.contoso.se -Port 443

# Testa IKEv2-portar
Test-NetConnection -ComputerName vpn.contoso.se -Port 500

# Kontrollera DNS-upplösning
Resolve-DnsName vpn.contoso.se

Felkod 809 — nätverksenhet i vägen

Den här koden dyker upp när något mellan klienten och VPN-servern (en brandvägg, NAT eller router) blockerar trafiken. Särskilt vanlig med IKEv2 bakom restriktiva brandväggar.

Lösning:

  • Kontrollera att UDP-port 500 och 4500 är öppna i alla brandväggar mellan klient och server
  • Sitter användaren bakom en strikt brandvägg? Prova SSTP (port 443) istället
  • Kontrollera att IPsec pass-through är aktiverat på routern

Felkod 720 — WAN Miniport-problem

Den här felkoden uppstår när WAN Miniport (IP)-adaptern inte är korrekt bunden. Det är faktiskt ett av de vanligaste VPN-problemen i Windows 11, och det är frustrerande för att det inte är uppenbart vad som gått fel.

Lösning — ominstallera WAN Miniport-adaptrarna:

  1. Öppna Enhetshanteraren (högerklicka på Start → Enhetshanteraren)
  2. Expandera Nätverkskort
  3. Högerklicka på WAN Miniport (IP) → Avinstallera enhet
  4. Upprepa för WAN Miniport (IPv6) och WAN Miniport (PPTP)
  5. Klicka på Åtgärd → Sök efter maskinvaruändringar
  6. Starta om datorn

Föredrar du kommandoraden? Då kan du köra:

netcfg -u MS_L2TP
netcfg -u MS_PPTP
netcfg -l %windir%\inf\netrast.inf -c p -i MS_PPTP
netcfg -l %windir%\inf\netrast.inf -c p -i MS_L2TP

Felkod 812 — policyblockering (Always On VPN)

Den här innebär att RAS- eller VPN-serverns policy stoppar anslutningen. Vanligt i Always On VPN-miljöer där NPS-policyer är inblandade.

Lösning:

  • Kontrollera NPS-policyer (Network Policy Server) på servern
  • Verifiera att användarens grupp finns med i rätt NPS-policy
  • Kontrollera att tunneltypen i klientens profil matchar serverns konfiguration

Felkod 13801 och 13806 — certifikatfel (IKEv2)

Dessa handlar om certifikatproblem vid IKEv2-anslutningar — och de kan vara riktigt luriga att felsöka.

  • 13806: IKE hittade inget giltigt datorcertifikat. Kontrollera att rätt certifikat finns installerat i certifikatarkivet
  • 13801: IKE-autentiseringsuppgifterna godkändes inte. Certifikatet kan ha gått ut, eller så saknas rotcertifikatet

Kontrollera certifikat via PowerShell:

# Visa datorcertifikat
Get-ChildItem -Path Cert:\LocalMachine\My | Format-List Subject, NotAfter, Thumbprint

# Visa rotcertifikat
Get-ChildItem -Path Cert:\LocalMachine\Root | Where-Object {$_.Subject -like "*VPN*" -or $_.Subject -like "*contoso*"}

Windows 11 24H2 — specifika VPN-problem

Den här sektionen är viktig. Uppdateringen till 24H2 har skapat en hel del VPN-problem som inte fanns tidigare, och det är precis den sortens saker som genererar helpdesk-ärenden i drivor.

WireGuard fungerar inte i 24H2

Det mest frustrerande problemet med 24H2 (enligt min erfarenhet) är att WireGuard-tunnlar kan etableras utan felmeddelande — men ingen datatrafik passerar. Användaren ser att WireGuard rapporterar "ansluten", men kan inte nå någonting via tunneln. Ganska irriterande.

Rotorsak: Problemet är kopplat till funktionen Virtual Machine Platform (VMP) i Windows 11 24H2. När VMP är avaktiverat fungerar inte WireGuard som det ska.

Lösningar:

  1. Aktivera Virtual Machine Platform: 
    # Via PowerShell (kräver admin och omstart)
Enable-WindowsOptionalFeature -Online -FeatureName "VirtualMachinePlatform" -NoRestart
Restart-Computer

    Eller gå via Kontrollpanelen → Program → Aktivera eller inaktivera Windows-funktioner → markera "Virtual Machine Platform".

  2. Justera AllowedIPs i WireGuard-konfigurationen:

    Ta bort klientens egen IP-adress från AllowedIPs-raden. Ändra till:

    [Peer]
AllowedIPs = 0.0.0.0/0, ::/0
  3. Uppdatera WireGuard-klienten till senaste version — vissa buggfixar har redan släppts som adresserar det här

Generella VPN-problem efter 24H2-uppdatering

Det är inte bara WireGuard som påverkas. Rapporter har kommit in om problem med CheckPoint VPN, DirectAccess och andra VPN-klienter efter uppgradering till 24H2. Vanliga symptom:

  • VPN som fungerade felfritt i 23H2 slutar plötsligt fungera
  • DirectAccess tappar anslutningen intermittent
  • WiFi-adaptern krånglar när VPN aktiveras

Generella åtgärder som brukar hjälpa:

  1. Kontrollera att din VPN-klient är kompatibel med 24H2 — kontakta leverantören för att dubbelkolla
  2. Uppdatera nätverksdrivrutiner via Windows Update eller tillverkarens webbplats
  3. Återställ nätverksinställningarna (den klassiska "nuke it from orbit"-approachen): 
    # Återställ Winsock
netsh winsock reset

# Återställ IP-konfigurationen
netsh int ip reset

# Rensa DNS-cachen
ipconfig /flushdns

# Starta om datorn
Restart-Computer

Systematisk VPN-felsökning — checklista för helpdesk

Okej, nu till det riktigt praktiska. Följ den här checklistan steg för steg när en användare ringer in med VPN-problem. Systematik slår gissningar varje gång.

Steg 1: Verifiera internetanslutningen

Det låter självklart, men du skulle bli förvånad. Börja alltid med att kontrollera att användaren faktiskt har internet. Utan det kan ingen VPN-tunnel etableras, punkt slut.

# Testa grundläggande internetåtkomst
Test-NetConnection -ComputerName 8.8.8.8
Test-NetConnection -ComputerName www.google.com -Port 443

# Kontrollera DNS
Resolve-DnsName www.google.com

Steg 2: Kontrollera VPN-konfigurationen

# Lista alla konfigurerade VPN-anslutningar
Get-VpnConnection

# Visa detaljerad information
Get-VpnConnection -Name "Företag VPN IKEv2" | Format-List *

Verifiera att serveradressen, tunneltypen och autentiseringsmetoden stämmer. Enkel sak som sparar massor av tid.

Steg 3: Testa nätverksåtkomst till VPN-servern

# Ping VPN-servern
Test-NetConnection -ComputerName vpn.contoso.se

# Testa specifika VPN-portar
Test-NetConnection -ComputerName vpn.contoso.se -Port 443   # SSTP
Test-NetConnection -ComputerName vpn.contoso.se -Port 500   # IKEv2
Test-NetConnection -ComputerName vpn.contoso.se -Port 1701  # L2TP

# Spåra nätverksvägen
Test-NetConnection -ComputerName vpn.contoso.se -TraceRoute

Steg 4: Kontrollera Windows-brandväggen

# Visa brandväggsregler relaterade till VPN
Get-NetFirewallRule | Where-Object {$_.DisplayName -like "*VPN*" -or $_.DisplayName -like "*RRAS*" -or $_.DisplayName -like "*IKE*"} | Format-Table DisplayName, Enabled, Direction, Action

# Kontrollera om VPN-relaterade portar är öppna
Get-NetFirewallPortFilter | Where-Object {$_.LocalPort -in @(500,4500,1701,443)} | Get-NetFirewallRule | Format-Table DisplayName, Enabled, Action

Steg 5: Granska händelseloggar

Windows Event Log är din bästa vän vid VPN-felsökning. Här finns detaljerad info om varje anslutningsförsök.

# Visa de senaste VPN-relaterade händelserna
Get-WinEvent -LogName "Application" -MaxEvents 50 | Where-Object {$_.Message -like "*VPN*" -or $_.Message -like "*RAS*"} | Format-Table TimeCreated, Id, Message -Wrap

# Visa RAS-klienthändelser
Get-WinEvent -LogName "Microsoft-Windows-RasClient/Operational" -MaxEvents 20 | Format-Table TimeCreated, Id, Message -Wrap

Steg 6: Kontrollera nätverksadaptrarna

# Lista alla nätverkskort och deras status
Get-NetAdapter | Format-Table Name, InterfaceDescription, Status, LinkSpeed

# Visa WAN Miniport-adaptrar specifikt
Get-NetAdapter -IncludeHidden | Where-Object {$_.InterfaceDescription -like "*WAN Miniport*" -or $_.InterfaceDescription -like "*WireGuard*"} | Format-Table Name, InterfaceDescription, Status

Always On VPN (AOVPN) — felsökning i företagsmiljö

Always On VPN är Microsofts moderna lösning för automatiserad VPN i företagsmiljöer, och den ersätter äldre DirectAccess-installationer. Tanken är enkel — VPN-tunneln etableras automatiskt vid inloggning utan att användaren behöver göra något. I teorin. I praktiken kan det bli en del jobb att felsöka.

Verifiera AOVPN-profilen

# Kontrollera om AOVPN-profilen är installerad
Get-CimInstance -Namespace root\cimv2\mdm\dmmap -ClassName MDM_VPNv2_01

# Visa VPN-anslutningsprofiler via WMI
Get-VpnConnection -AllUserConnection

Vanliga AOVPN-problem

  • Profilen installeras inte: Kontrollera att VPN-profilskriptet eller Intune-policyn har distribuerats korrekt
  • Anslutningen misslyckas vid inloggning: Kontrollera att enhetstunneln (device tunnel) är konfigurerad om VPN behövs före användarinloggning
  • NPS-avvisning: Granska NPS-loggarna på RADIUS-servern — ofta handlar det om att användaren inte tillhör rätt säkerhetsgrupp
  • Certifikat har gått ut: Verifiera att både klient- och servercertifikaten är giltiga (det här glöms bort förvånansvärt ofta)

Felsökningsloggar för AOVPN

# Aktivera detaljerad RAS-loggning
netsh ras set tracing * enabled

# Loggar sparas i %ProgramData%\Microsoft\Network\Connections\

# Stäng av loggning när du är klar
netsh ras set tracing * disabled

Proxyinställningar och DNS-konflikter

Här är en ofta förbisedd orsak till VPN-problem: konflikter mellan proxyinställningar och VPN-konfigurationen. Windows 11 hanterar VPN och proxy separat, och ibland bråkar de med varandra.

Kontrollera och rensa proxyinställningar

# Visa aktuella proxyinställningar
Get-ItemProperty "HKCU:\Software\Microsoft\Windows\CurrentVersion\Internet Settings" | Select-Object ProxyEnable, ProxyServer, ProxyOverride

# Inaktivera proxy tillfälligt via register
Set-ItemProperty "HKCU:\Software\Microsoft\Windows\CurrentVersion\Internet Settings" -Name ProxyEnable -Value 0

DNS-problem vid VPN-anslutning

När VPN-tunneln är uppe kan DNS-upplösningen ibland gå sönder om DNS-suffixen och DNS-servern inte konfigurerats rätt. Det är ett av de där problemen som ser ut som "VPN funkar inte" fast det egentligen bara är DNS.

# Visa DNS-konfiguration per adapter
Get-DnsClientServerAddress | Format-Table InterfaceAlias, ServerAddresses

# Rensa DNS-cachen
Clear-DnsClientCache

# Visa DNS-suffix-söklistan
Get-DnsClientGlobalSetting | Select-Object SuffixSearchList

Optimera VPN-prestanda

"Min VPN är jättelångsam." Om du jobbar på helpdesk har du hört den meningen hundratals gånger. Här är vad du faktiskt kan göra åt det.

Aktivera split tunneling

Om all trafik skickas via VPN (full tunnel) tvingas allting — även Spotify och YouTube — genom företagets VPN-server. Det är onödigt och slöar ner allt. Split tunneling löser det genom att bara skicka intern trafik via VPN.

# Aktivera split tunneling
Set-VpnConnection -Name "Företag VPN IKEv2" -SplitTunneling $true

# Lägg till specifika nätverksprefix som ska gå via VPN
Add-VpnConnectionRoute -ConnectionName "Företag VPN IKEv2" -DestinationPrefix "10.0.0.0/8"
Add-VpnConnectionRoute -ConnectionName "Företag VPN IKEv2" -DestinationPrefix "192.168.0.0/16"

Välj rätt protokoll

  • IKEv2 ger generellt bäst prestanda tack vare UDP-baserad transport och effektiv krypteringshantering
  • SSTP kan vara märkbart långsammare eftersom det kör på TCP, vilket kan leda till den ökända TCP-over-TCP-problematiken
  • WireGuard är överlägset snabbast av alla alternativ, men kräver separat klient och har de nämnda 24H2-bekymren

Kontrollera MTU-inställningar

Felaktig MTU-storlek är en av de där sakerna som kan orsaka märkligt beteende — stora filer överförs inte, webbsidor laddar halvvägs, och allt känns trögt.

# Visa aktuell MTU för alla adaptrar
Get-NetIPInterface | Select-Object InterfaceAlias, NlMtu | Format-Table

# Testa optimal MTU med ping (minska storleken tills det fungerar utan fragmentering)
ping vpn.contoso.se -f -l 1400

Vanliga frågor (FAQ)

Varför slutar min VPN-anslutning fungera efter en Windows-uppdatering?

Windows-uppdateringar kan ändra nätverksdrivrutiner, säkerhetsinställningar eller hela nätverksstacken. Efter varje större uppdatering (särskilt 24H2) bör du verifiera att VPN-klienten är kompatibel, uppdatera nätverksdrivrutiner och kontrollera att WAN Miniport-adaptrarna fungerar. Att köra netsh winsock reset och netsh int ip reset följt av en omstart löser överraskande många problem.

Vilket VPN-protokoll ska jag rekommendera?

Under 2026 rekommenderar Microsoft IKEv2 eller SSTP. IKEv2 ger bäst prestanda och stöder automatisk återanslutning, medan SSTP är bäst bakom restriktiva brandväggar. Undvik PPTP helt och planera migrering bort från L2TP. WireGuard är ett utmärkt val prestandamässigt, men har kända 24H2-problem att vara medveten om.

VPN-anslutningen fungerar men ingen trafik passerar — vad gör jag?

Det här beror oftast på routing eller DNS. Kontrollera routingtabellen med Get-NetRoute för att se att trafiken dirigeras via VPN-tunneln. Kolla sedan DNS-servrarna med Get-DnsClientServerAddress. Kör du WireGuard i 24H2? Aktivera Virtual Machine Platform — det är en känd bugg. Vid split tunneling, dubbelkolla att rätt nätverksprefix är konfigurerade.

Kan jag använda PowerShell för att sätta upp VPN på flera datorer?

Absolut. Använd Add-VpnConnection med flaggan -AllUserConnection för att skapa en VPN-anslutning tillgänglig för alla användare. Skriptet kan sedan distribueras via grupprinciper, Intune eller SCCM. För Always On VPN-profiler rekommenderas distribution via Microsoft Intune med proactive remediations-skript.

Vad är skillnaden mellan full tunnel och split tunnel?

Full tunnel = all nätverkstrafik (inklusive vanlig webbsurf) går genom VPN-tunneln. Maximal säkerhet men kan vara märkbart långsammare. Split tunnel = bara trafik till specifika nätverk (t.ex. företagets interna nät) går via VPN, resten går direkt ut på internet. Split tunneling rekommenderas i de flesta fall — det ger bättre användarupplevelse och lägre belastning på VPN-infrastrukturen.

Om Författaren Editorial Team

Our team of expert writers and editors.